Стручњаци за безбедност открили су малвер који ради у окружењу Виндовс подсистема за Линук (ВСЛ). Линук бинарни
Проблем су пријавили стручњаци из Блацк Лотус Лабс -а.део америчке телекомуникационе компаније Лумен Тецхнологиес. Пронашли су неколико злонамерних Питхон датотека састављених у бинарном формату извршног и повезивог формата (ЕФЛ) за Дебиан Линук.
Како ови вируси функционишу?
Ове датотеке су деловале као покретачи покретања“корисно оптерећење”, које је било уграђено у саму инстанцу или је дошло са удаљеног сервера, а затим је убачено у процес који је покренут помоћу Виндовс АПИ позива”, – Блацк Лотус Лабс објашњава.
2017., више од годину дана након објављивањаВСЛ, истраживачи Цхецк Поинт -а демонстрирали су експериментални напад назван Басхваре који је дозволио извођење злонамерних радњи из извршних датотека ЕЛФ и ЕКСЕ у ВСЛ окружењу. Али ВСЛ је подразумевано онемогућен, а Виндовс 10 нема уграђене дистрибуције Линука, тако да претња од Басхваре -а није изгледала стварно.
Међутим, четири године касније догодило се нешто сличнооткривено “у дивљини”. Стручњаци Блацк Лотус Лабс-а су коментарисали да узорци злонамерног кода имају минималну оцену на ВирусТотал сервису, што значи да ће већина антивирусних програма пропустити.
Више специфичности
Две варијанте злонамерногпрограми. Први је написан на чистом Питхону, а други додатно користи библиотеку за повезивање са Виндовс АПИ -јем и покретање ПоверСхелл скрипте. Стручњаци компаније Блацк Лотус Лабс сугеришу да је у другом случају модул још увек у развоју, јер не ради сам.
Узорак је открио и ИП адресу (185.63.90 [.] 137), повезане са циљевима у Еквадору и Француској, одакле су заражене машине покушале да комуницирају преко лука 39000-48000 крајем јуна и почетком јула. Претпоставља се да је власник злонамерног софтвера тестирао ВПН или проки сервер.
Извор: тхерегистер, лумен
Илустрације: ЦЦ0 јавни домен
</ п>