Este pacote malicioso é distribuído usando um outro Malware conhecido como Linux.Downloader. Que alguns especialistas de segurança o conhecem como payload downloader. O código malicioso é tão pequeno que pode caber dentro de outros apps, e é encarregado, depois, de baixar outros Malwares.
Vamos entender o que ocorreu de verdade, essas novas ameaças não vão vir apenas como scripts automatizados, vulnerabilidades ou ataques de força bruta para infectar utilizadores, elas são bem mais inteligentes. Um ponto é preciso destacar, elas ainda dependem da boa estupidez dos usuários para que tudo seja infectado, ou seja, só vai acontecer a infecção quando o usuário baixar pacotes maliciosos pelos mais variados sites da internet, e ainda, que dê privilégios de root para eles após a instalação. Mas, antes de continuar a leitura, saiba que já existe uma empresa que detectou e tratou a infecção.
Quando o usuário Linux dá privilégios de root para um aplicativo que esteja contaminado com o Linux.Downloader, que atualmente está na versão 77, esse cavalo de Tróia irá baixar uma versão atualizada de si mesmo, isto é, a versão 116, que inclui mais recursos necessários durante a instalação do Xudp.
Com isso, o miserável irá baixar e instalar Xudp nas pastas “/lib/.socket1” ou /lib/.loves “, que adiciona Xudp a scripts autorun do sistema e também limpam o firewall iptables local, caso este esteja ativado.
E vamos continuar a novela, o Linux.Downloader será desativado assim que terminar a pilantragem e aí o Xudp assume tudo. Em primeiro lugar, irá verificar o arquivo de configuração codificado onde contém as instruções programadas pelo cracker, em seguida, irá reunir informações sobre o computador infectado, enviando-o ao seu servidor C & C. O primeiro ping para servidor C & C será uma solicitação HTTP em texto puro e mais tarde a comunicação HTTPS.
Quanto aos principais componentes do Xudp, o trojan é dividido em três grandes tópicos. O primeiro é responsável por tratar as comunicações do servidor C & C via HTTPS, o segundo se mantém ativo constantemente para receber instruções provenientes do servidor C & C e o terceiro envia periodicamente os dados da máquina infectada para o servidor do cracker.
Tecnicamente, especialistas dizem que o Xudp pode ser usado como um backdoor para executar comandos no computador local, ou como um bot em ataques DDoS coordenados. No momento da escrita, a fabricante de antivírus detectou pelo menos três versões diferentes de Linux.BackDoor.Xudp. Caso queira ver o relatório da detecção clique no botão abaixo:
[ads-post]