قال أحد الباحثين إن فيروساً متنقلاً تم إكتشافه مؤخراً يعمل على تصعيد إستهداف أجهزة Windows و Linux بمجموعة من المآثر والقدرات الجديدة.
بدأت شركة الأبحاث Juniper في مراقبة ما تسميه Sysrv botnet في ديسمبر. كان أحد مكونات البرامج الضارة في الروبوتات عبارة عن دودة تنتشر من جهاز ضعيف إلى آخر دون الحاجة إلى أي إجراء من المستخدم. لقد فعلت ذلك عن طريق فحص الإنترنت بحثاً عن الأجهزة المعرضة للخطر ، وعند إكتشافها ، تقوم بإصابتها باستخدام قائمة من الثغرات التي زادت بمرور الوقت.
تضمنت البرامج الضارة أيضاً أداة تشفير تستخدم أجهزة مصابة لإنشاء عملة Monero الرقمية. كان هناك ملف ثنائي منفصل لكل مكون.
ترسانة متنامية باستمرار:
بحلول شهر مارس ، أعاد مطورو Sysrv تصميم البرامج الضارة لدمج الدودة وعامل التعدين في ثنائي واحد. كما أعطوا البرنامج النصي الذي يقوم بتحميل البرامج الضارة القدرة على إضافة مفاتيح SSH ، على الأرجح كطريقة لجعله أكثر قدرة على الصمود في وجه عمليات إعادة التشغيل والحصول على قدرات أكثر تعقيداً. كانت الدودة تستغل ست نقاط ضعف في البرامج والأطر المستخدمة في المؤسسات ، بما في ذلك Mongo Express و XXL-Job و XML-RPC و Saltstack و ThinkPHP و Drupal Ajax.
قال الباحث في جونيبر Paul Kimayong في منشور يوم الخميس على المدونة: "إستنادًا إلى الثنائيات التي رأيناها والوقت الذي رأيناها فيه ، وجدنا أن الفاعل يقوم باستمرار بتحديث ترسانته من الثغرات".
أدرجت مشاركة يوم الخميس أكثر من إثني عشر ثغرة تتعرض للهجوم من قبل البرامج الضارة. هم:
تهديد لنظامي التشغيل Windows و Linux على حد سواء:
ثنائي Sysrv هو ثنائي Go 64 بت ومعبأ ببرنامج UPX القابل للتنفيذ مفتوح المصدر. هناك إصدارات لكل من Windows و Linux. تم إكتشاف إثنين من ثنائيات Windows التي تم إختيارها عشوائياً بواسطة 33 و 48 من أفضل 70 خدمة حماية من البرامج الضارة ، وفقًا لـ VirusTotal. وكان إثنان إختار عشوائيا ثنائيات لينكس 6 و 9.
إن التهديد من هذه الروبوتات ليس فقط الضغط على موارد الحوسبة والإستنزاف غير التافه للكهرباء. من شبه المؤكد أن البرامج الضارة التي لديها القدرة على تشغيل برنامج تشفير يمكنها أيضاً تثبيت برامج الفدية وغيرها من البرامج الضارة.
