Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:

Perl-скрипт рассылающий спам

Второй троянец является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:

Расшифровка и запуск Perl-скрипта

Эти вредоносные программы были обнаружены нами на серверах, зараженных троянцем Trojan- Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.

Часть вредоносной программы Trojan-Downloader.JS.Iframe.auy, размещенной на зараженных серверах

Страница, предлагающая пользователю установить кодек для просмотра видео

На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a- virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60.

Сайт поддельного антивируса

На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. Эти сервера постоянно рассылают почтовый спам.

Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно.