September wird erwartet, dass mit Malware gespickt einen Monat zu sein. Wir haben schon mehrere gesehen Banking-Trojaner, einige neue und einige erneuert, und eine starke Welle von crysis / Troldesh Ransomware-Varianten. Jedoch, dies ist bei weitem nicht alles, was auf dem böswilligen Horizont im Moment passiert. Wir schrieben nur über ein Twitter-angetriebene Botnet Kompromisse bei Android-Geräten und Drop-Banking-Malware. Jetzt werden wir uns auf Linux.PNScan konzentrieren - eine alte Trojan mit einer verbesserten Version, die derzeit Router läuft Targeting Linux-basierte Firmware in Indien.
Die Forschung zeigt, dass Linux.PNScan erste Online erschienen im August 2015. Das ist, wenn Sicherheitsfirma Dr.Web offenbart zwei Varianten der Malware. Diese Varianten wurden später entdeckt Router im September Targeting.
Ein genauerer Blick in Linux.PNScan Malware
Nach Untersuchungen von Dr.. Web und MalwareMustDie!, die Malware ist ein ELF-Binaries Router auf ARM speziell auf, MIPs, oder PowerPC-Architekturen.
In früheren Angriffen, vor allem für DDoS-Attacken wurde die Malware im Einsatz, Unterstützung ACK, SYN, und UDP-Paket Überschwemmungen. Frühere Versionen von Linux.PNScan hatte auch wurmähnliche Fähigkeiten, so dass sie an andere Router auf Linux-Basis-Firmware zu verbreiten.
- Linux.PNScan.1 Sie versuchen, auf andere Geräte Brute-Force wurde im Wörterbuch-basierte Angriffe eingesetzt.
- Linux.PNScan.2 wurde nur drei Benutzernamen zu verwenden, erkannt – Kennwort Combos: root / root; admin / admin; und Ubnt / Ubnt.
Was ist neu in Linux.PNScan späteren Versionen?
Nach MalwareMustDie!, die Malware wurde aktualisiert und ist nun in der Lage Angriff auf Linux-Router auf x86 laufen (i86) die Architektur, das ist häufiger.
Der Forscher schreibt,:
Die Malware […] ist fest einprogrammiert, um zu zielen [Bei der] 183.83.0.0/16 Segment (im Netzgebiet von Telangana und Kaschmir-Region von Indien), wo sie gerade entdeckt.
Der Forscher glaubt, dass diese neuen Angriffe eine Weiterentwicklung des Linux.PNScan.2 sind, weil es nur drei Satz von Admin-Anmeldeinformationen verwenden wird fortgesetzt, wenn Brute-Forcing anderen Routern. Kein Wörterbuchangriff wurde erkannt.
Falls Ihr Router ist infiziert, Sie können auf diese verweisen Router zum Entfernen von Malware Artikel Anleitungen.