Linuxon rejtőzködik az új kriptobányász trójai

​A kriptopénz bányászattal foglalatoskodó kártékony programok fejlesztői egy újabb módszerrel próbálják leplezni a szerzeményeiket. Most éppen Linux alatt.
 

A kriptobányászatot támogató programok gyakorta a felhasználó tudta nélkül jutnak fel a számítógépekre, amelyeket észrevehető mértékben lelassítanak. Miközben a felhasználó a mindennapos tevékenységeit végzi a PC-jén, aközben e károkozók a háttérben gyűjtögetik a kriptopénzt a terjesztőik számára. Az ilyen "ingyenélő" programok ellen víruskeresőkkel is lehet védekezni, de nem minden esetben könnyű feladat, hiszen gyakorta amúgy teljesen legális szoftveres összetevők kapnak szerepet a támadásokban.
 
A nemkívánatos kriptobányász programok felismerésének egy további lehetséges módszere, hogy a számítógépen meg kell keresni a leginkább processzorigényes folyamatokat, és azokat alaposabban is szemügyre kell venni. Mivel ekkor egy bányászprogram könnyedén lebukhat (hiszen többnyire 100 százalékon pörgeti a CPU-t), ezért nem biztos, hogy a károkozó hosszú életet él a kompromittált rendszeren. Ez pedig nyilvánvalóan nem tetszik a csalóknak, így továbbfejlesztették a támadásaikat.
 
A Trend Micro beszámolója szerint a KORKERDS trójai legújabb variánsa bizonyos szempontból új szintre emelte a kriptobányászatot. Az eddigi verzióihoz hasonlóan ez is kriptopénzzel ügyeskedik, de mindezt olyan módon, hogy ne lehessen a szokványos, egyszerű módszerekkel kimutatni a jelenlétét. A rejtőzködés megvalósításához a vírusírók számára kézenfekvő választás volt, hogy a KORKERDS folyamatát egy rootkittel tüntessék el a kíváncsiskodó rendszerüzemeltetők, felhasználók elől.
 
Amikor az új, Linux kompatibilis trójai megfertőz egy rendszert, és még nem fut a rootkit, akkor a folyamatok listájából kiszűrhető a nemkívánatos folyamata, amely felemészti a processzor erőforrásait, azaz lassítja a rendszert.  
Ha viszont a rootkit is betöltődik, akkor a helyzet már nem ennyire egyszerű, hiszen a folyamatok között nem lehet látni azt a bejegyezést, amely a processzor terheléséért felel.  
A KORKERDS legutóbbi variánsa leginkább onnan ismerhető fel, hogy a /tmp/kworkerds mappába másolja be a saját fájljait. Ha ez a könyvtár megtalálható egy számítógépen, akkor bizony lehet gyanakodni.