♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

نسخه*ی لینوکسی این بدافزار که اوایل دسامبر توسط این مرکز کشف شد، با حملات حدس گذرواژه*ی مبتنی بر فرهنگ*لغت علیه سرویس پوسته*ی امن (یا SSH) عمل می*کند. این بدین معنی است که تنها سامانه*هایی که امکان دسترسی از راه دور SSH را از اینترنت فراهم می*کنند و دارای حساب*های کاربری با گذرواژه*های ضعیف هستند در معرض این خطر قرار دارند.

به گزارش این مرکز این بدافزار با استفاده از یک IP و پورت به کارگزار کنترل و فرمان*دهی متصل می*شود و در اولین اجرا اطلاعات سامانه*عامل را که خروجی یک دستور uname* است، به کارگزار می*فرستد و منتظر دستورات بعدی می*ماند.

ظاهراً ۴ نوع از این حملات وجود دارد که هر کدام یک حمله*ی انسداد سرویس با یک هدف از پیش تعیین شده هستند. یکی از این حملات، حمله*ی تقویت DNS است، که در آن درخواستی حاوی ۲۵۶ پرس*و*جوی تصادفی یا از پیش*تعریف*شده به کارگزار DNS ارسال می*شود.

حین این حمله نیز بدافزار اطلاعات سامانه را به کارگزار کنترل و فرمان*دهی خود می*فرستد؛ این اطلاعات عبارتند از برنامه*های در حال اجرا، میزان مصرف CPU، سرعت اتصال به شبکه و میزان بار سامانه.

گونه*ی ویندوزی این بدافزار DDoS نیز که در C:\Program Files\DbProtectSupport\svchost.exe نصب می*شود طوری تنظیم شده که در هنگام راه*اندازی سامانه، آغاز به کار کند. برخلاف گونه*ی لینکوسی، این بدافزار ویندوزی با استفاده از نام دامنه به کارگزار به کنترل و فرمان*دهی خود متصل می*شود، نه آدرس IP. اما در هر صورت کارگزار کنترل و فرمان*دهی مشابهی در هر دو گونه مورد استفاده گرفته؛ از این رو مرکز CERT لهستان بر این باور است که این دو گونه*ی بدافزاری توسط یک گروه خراب*کار ایجاد شده است.