شماره: IRCNE2013122048
تاريخ: 29/09/92
با توجه به يافته هاي CERT Polska، مهاجمان سيستم هاي ويندوز و لينوكس را هدف حمله قرار داده اند تا يك بدافزار جديد را كه براي راه اندازي حملات انكار سرويس توزيع شده طراحي شده است، بر روي آن ها نصب نمايند.
اين بدافزار توسط CERT لهستاني در اوايل دسامبر كشف شد و نسخه لينوكسي اين بدافزار داراي حملات حدس زدن كلمه عبور مبتني بر فرهنگ لغت عليه خدمات SSH مي باشد. اين نسخه از بدافزار تنها سيستم هايي را تحت تاثير قرار مي دهد كه مي توانند از راه دور و از طريق اينترنت به SSH دسترسي يابند و داراي حساب هاي كاربري با كلمات عبور ضعيف مي باشند.
اين بدافزار پس از اجرا از طريق يك آدرس IP و پورت به يك سرور كنترل و فرمان متصل مي شود. پس از اولين اجرا، اين بدافزار اطلاعات سيستم عامل را براي سرور كنترل و فرمان ارسال مي كند و منتظر دستورات مي ماند.
با توجه به گزارش منتشر شده توسط CERT لهستاني، چهار نوع حمله از اين طريق قابل پياده سازي و اجرا است و هر يك از آن ها يك حمله DDoS بر روي هدف تعيين شده را اجرا مي كنند. يك از اين حملات، حمله DNS Amplification مي باشد كه در آن يك درخواست شامل 256 پرس و جوي تصادفي مي باشد و براي يك سرور DNS ارسال مي شود.
در طول حمله اين بدافزار اطلاعاتي را از قبيل اجراي حمله، سرعت CPU، بارگذاري سيستم و سرعت ارتباطات شبكه تهيه كرده و براي سرور كنترل و فرمان ارسال مي كند.
گونه اي ديگري از اين بدافزار نيز براي سيستم هاي ويندوز طراحي شده است و بر روي آدرس "C:\Program Files\DbProtectSupport\svchost.exe" نصب مي شود و به گونه اي تنظيم مي شود تا يك سرويس را هنگام راه اندازي سيستم اجرا نمايد.
برخلاف نسخه لينوكس، نسخه ويندوز اين بدافزار از طريق يك نام دامنه به سرور كنترل و فرمان متصل مي شود. با اين وجود، هر دو نسخه اين بدافزار به يك سرور كنترل و فرمان متصل مي شوند.
- 3