Компания «Доктор Веб» обнаружила сразу несколько тысяч устройств под управлением Linux, заражённых новой вредоносной программой, получившей обозначение Linux.Proxy.10.

Зловред предназначен для запуска на инфицированном устройстве SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server. Злоумышленники используют этого трояна для обеспечения собственной анонимности в Интернете.

Анализ показывает, что для распространения вредоносной программы киберпреступники авторизуются на уязвимых узлах по протоколу SSH, при этом список узлов, а также логин и пароль к ним хранится на их сервере. Зловред проникает преимущественно в системы, имеющие стандартные настройки, либо уже инфицированные другими вредоносными программами для Linux.

Для подключения к запущенному с помощью Linux.Proxy.10 прокси-серверу злоумышленникам необходимо знать только IP-адрес заражённого устройства и номер порта, который сохраняется в теле трояна при его компиляции.

Любопытно, что специалисты компании «Доктор Веб» обнаружили на сервере злоумышленников панель управления Spy-Agent и сборку вредоносной программы для Windows, относящейся к известному семейству троянов-шпионов BackDoor.TeamViewer.