Cпециалисты компании «Доктор Веб» рассказали об обнаружении Linux-трояна, который поднимал на зараженном устройстве прокси-сервер.




Тогда сообщалось, что малварь запускает на инфицированном устройстве SOCKS-прокси сервер и умеет обнаруживать ханипоты. Соединившись с управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает адреса двух ресурсов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси.

Существуют сборки этого трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. То есть малварь способна работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.

Выяснили, что при помощи Linux.ProxyM злоумышленники рассылают спам. С управляющего сервера на зараженное устройство поступает команда, содержащая адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В письмах рекламируются различные сайты категории «для взрослых».

Согласно статистике, в среднем каждое зараженное устройство рассылает порядка 400 писем в день.

Можно предположить, что ассортимент реализуемых Linux-троянцами функций будет расширяться и в дальнейшем. «Интернет вещей» уже давно находится в фокусе интересов вирусописателей, о чем свидетельствует широкое распространение вредоносных программ для Linux, способных заражать устройства с различной аппаратной архитектурой.