Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.
Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:
Perl-скрипт рассылающий спам
Второй троянец является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:
Расшифровка и запуск Perl-скрипта
Эти вредоносные программы были обнаружены нами на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.
Часть вредоносной программы Trojan-Downloader.JS.Iframe.auy, размещенной на зараженных серверах
Страница, предлагающая пользователю установить кодек для просмотра видео
На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a-virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60.
Сайт поддельного антивируса
На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. Эти серверы постоянно рассылают почтовый спам.
Времена безопасности *nix-систем давно прошли. Системные администраторы должны это понимать и уметь защищаться от всех современных IT-угроз. В данном случае они не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов.
