«Доктор Веб» сообщил о Linux-трояне, портированном на Windows

Эксперты из ИБ-компании «Доктор Веб»  сообщили  о вредоносном ПО Trojan.DnsAmp.1, предназначенном для осуществления DDoS-атак. Особенностью этого трояна является то, что он разработан для атак на Linux-системы, однако портирован на Windows. По словам исследователей, портирование разработанных для одной платформы игр и ПО на другую – довольно распространенное явление, однако это редко случается с троянами.

Вредонос относится к семейству Linux.DnsAmp, обнаруженному экспертами из «Доктор Веб» в мае 2014 года, однако отличается от предыдущих версий своей совместимостью с Windows. Троян инсталлируется на систему под видом службы Windows Test My Test Server 1.0 и копирует себя в папке %System32% под именем vmware-vmx.exe.

После этого вредоносное ПО соединяется с C&C-сервером, передает злоумышленникам данные о зараженной системе и ждет команды начать DDoS-атаку. При этом может быть выполнено три команды: «начать DDoS», «остановить DDoS», а также «загрузить и запустить на исполнение файл». Вредонос способен осуществлять DDoS-атаки нескольких видов - Syn Flood, UDP Flood, Ping Flood, HTTP Get Flood и загружать дополнительное вредоносное ПО.

При портировании вредоноса с Linux на Windows разработчики заменили DDoS-атаку через отражение и усиление (DNS Amplification) на HTTP Get Flood.

По словам экспертов, авторами трояна являются китайцы. «В период с 5 июня по 13 августа 2014 года наибольшее количество DDoS-атак, предпринятых с использованием троянцев данного семейства (в первую очередь — Linux.BackDoor.Gates), приходится на китайские сайты (28 093 атаки), на втором месте находятся ресурсы, расположенные на территории США», - говорится в сообщении «Доктор Веб».