Эксперты из «Доктор Веб» проанализировали активность новой троянской программы для Linux, которая предназначена для проведения DDoS-атак. По словам исследователей, распространение вредоносной программы Linux.DDoS.93 осуществляется с помощью набора уязвимостей ShellShock в GNU Bash.
При активации троянской программы она меняет содержимое многих системных папок Linux для того, чтобы обеспечить собственную автозагрузку. Затем программа ищет на зараженном компьютере другие копии Linux.DDoS.93 и прекращает их работу.
После запуска троянская программа создает два дочерних процесса. Задачей одного из них является обмен информацией с командным сервером киберпреступников, а второй постоянно проводит проверку активности родительского процесса и осуществляет его повторный запуск в случае остановки. Родительский процесс также следит за дочерним и при необходимости производит его перезапуск. Так троянская программа обеспечивает свою непрерывную работу на зараженной системе.
Linux.DDoS.93 может осуществлять загрузку и запуск указанного в команде файла, удалять себя, а также проводить DDoS-атаки. Когда троянская программа получает команду о начале DDoS-атаки, она прекращает все дочерние процессы и осуществляет запуск 25 новых процессов для проведения кибернападения.