Обнаружен еще один троян для Linux

20.11.2015

Отличие Linux.Encoder2 заключается в использовании библиотеки OpenSSL.

Известие о появлении трояна для ОС Linux получило широкий резонанс среди мировой общественности. Как оказалось, это семейство операционных систем, считавшееся устойчивым к воздействию вредоносного ПО, также подвержено инфицированию энкодерами. Данный троян получивший наименование Linux.Encoder1 (по классификации «Доктор Веб»), тем не менее, оказался не единственным. Некоторое время назад появилась информация о еще одном представителе семейства Linux.Encoder.

Одними из основных отличий этой модификации трояна-шифровальщика является не сохранение прав доступа к файлу в заголовке зашифрованного файла, использование другого генератора псевдослучайных чисел и применение для шифрования библиотеки OpenSSL (а не PolarSSL, как в Linux.Encoder1). Шифрование осуществляется в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Новая версия получила наименование Linux.Encoder2 (по классификации «Доктор Веб»).

Несмотря на то, что вышеуказанная модификация получила второй порядковый номер, исторически она появилась раньше, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Недавно ИБ-компания Bitdefender опубликовала анализ другого трояна, получившего название Linux.Encoder.0, который предположительно является первым представителем в этой группе шифровальщиков. Что касается Linux.Encoder2, он начал распространяться в сентябре-октябре 2015 года, а троян Linux.Encoder1 появился несколько позднее – в начале ноября. 

Источник: www.securitylab.ru