logo de clasesordenador

NUEVA VARIANTE DEL MALWARE LINUX.LADY.1

Fecha actualización el 2016-8-10. Fecha publicación el . Categoría: Seguridad, Malware. Autor: Versión Movil Mapa del sitio

Linux.lady.3 malware descubierto por la empresa Dr. Web basado en el troyano Linux.lady.1

Según un nuevo informe publicado por la compañía de antivirus Doctor Web, un troyano Linux Go-Based, Linux.Lady.1 Doblado, es explotado por los ciberdelincuentes para la criptomoneda.

Segun las propias palabras de la empresa Doctor Web: "Doctor Web analistas han detectado y examinado un nuevo troyano Linux, que es capaz de ejecutar un programa de minería criptomoneda en un equipo infectado. Su característica fundamental radica en el hecho de que está escrito en Go, un lenguaje desarrollado por Google."

El troyano Linux Linux.Lady está escrito en lenguaje de programación Go de Google y utiliza varias bibliotecas que están disponibles en GitHub.

El lenguaje de programción Go presentado por Google en 2009, puede ser utilizado para desarrollar un código malicioso, fue utilizado por primera vez con la intención de crear programas maliciosos en 2012 a pesar de que no es tan popular en la comunidad vxer.

Cuando el Linux.Lady infecta un sistema, que recoge información sobre el sistema, incluyendo la versión del sistema operativo Linux, el número de CPU y procesos.

Una vez que la información sobre el huésped infectado es recogida, el malware envía de nuevo a un servidor (C & C) de mando y control, que a su vez proporciona un archivo de configuración para la descarga de una aplicación de minería criptomoneda.

Otra característica interesante implementado en el Linux.Lady permite que el malware se propague a otros equipos con Linux en la red infectada.

"El troyano recibe un archivo de configuración que contiene la información necesaria para el funcionamiento del troyano. A continuación, se descarga y ejecuta un programa de minería criptomoneda. El malware se determina una dirección IP externa del equipo infectado a través de sitios especiales especificadas en el archivo de configuración. "

"El troyano calcula entonces la máscara de la subred External_ip \ 8 ( máscara es 255.0.0.0) y trata de conectarse a los servidores remotos a través del puerto 6379 ( Redis ) sin introducir una contraseña. Si se establece la conexión, Linux.Lady.1 abre la URL especificada en el archivo de configuración, descarga un script detectado como Linux.DownLoader.196 , y lo añade al planificador cron del ordenador infectado: "

Las actividades mineras son un negocio rentable para los criminales cibernéticos que explota los recursos computacionales de las víctimas para hacer dinero.

linux.lady.3