Новый троянец заражает роутеры под управлением ОС Linux

Проникая в устройство, вирус загружает на маршрутизатор другие вредоносные приложения и перехватывает управление базами данных через PHPMyAdmin. После этого он осуществляет подбор данных авторизации для доступа по протоколу SSH к подключенном к роутеру устройствам.

В компании предполагают, что вирус устанавливается на маршрутизатор непосредственно через уязвимость shellshock и затем активирует сценарий установки вредоносного ПО семейства Linux.BackDoor.Tsunami.

Методы атаки подбираются в соответствии с архитектурой роутера — ARM, MIPS или PowerPC. Для маршрутизаторов с архитектурой Intel x86 в вирусе заложен свой скрипт для загрузки бэкдора.

В роутерах Linksys эксплуатируется уязвимость Home Network Administration Protocol и CVE-2013-2678. Троянец пытается подобрать логин и пароль посредством специально созданного для этих целей словаря. Кроме того, Linux.PNScan.1 использует уязвимость ShellShock для вызова команд на устройствах от Fritz!Box.

В «Доктор Веб» отмечают, что загружаемые троянцем вредоносное ПО детектируются антивирусом Dr.Web как Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144.