Nagyot kamuzik az adatbázisokat törlő vírus

​Az Xbash nevű kártékony programot nem érdekli, hogy Windows-ra vagy Linuxra kerül fel. Az egyik operációs rendszeren kriptopénzt bányászik, míg a másikon adatbázisokat töröl.
 

A számítógépes vírusok körében új trend van kibontakozóban. Eszerint olyan kártékony programok kezdenek tért hódítani, amelyek nemcsak egy operációs rendszer alatt képesek károkozásokra. Noha már korábban is léteztek ilyen nemkívánatos szerzemények, az új Xbash trójai azt is megmutatta, hogy különféle típusú károkozásokat is egy tető alá lehet hozni. 

A Palo Alto Networks biztonsági kutatói által felfedezett és vizsgált Xbash legfontosabb jellemzője, hogy Windows mellett Linux alatt is képes működni, igaz nem ugyanúgy. A kisebb gondot Windows-os környezetekben okozza, legalábbis a jelenlegi variánsa. Itt ugyanis nem rombol, hanem JavaScript és VBScript kódok segítségével kriptopénzt kezd bányászni. Ezzel lefoglalja a fertőzött rendszer erőforrásait, azaz lassulást idéz elő.

Linux alatt az Xbash már jóval komolyabb károkat képes okozni. Ennek oka, hogy egy olyan összetevővel rendelkezik, amely kifejezetten adatbázisok törlésére alkalmas. A legfrissebb változata MySQL, PostgreSQL és MongoDB példányokat keres a kiszemelt rendszereken, és ha ilyen adatbázisokra akad, akkor azokat rögtön megsemmisíti. Ezt követően elkezdi zsarolni a számítógép felhasználóját vagy üzemeltetőjét, és 125 dollárt követel a helyreállításért cserébe. A biztonsági szakértők azonban hangsúlyozták, hogy az Xbash nem rendelkezik olyan komponenssel, amivel a törölt adatbázisok visszanyerhetők lennének, így semmi értelme fizetni a csalóknak. 
Az Xbash leginkább olyan rendszerek megfertőzésére alkalmas, amelyek nem megfelelően védett szolgáltatásokat futtatnak. A károkozó olyan nyitott portokat keres, amelyek egyebek mellett HTTP, VNC, MySQL, Memcached, FTP, Telnet, ElasticSearch, RDP, UPnP, NTP, DNS, SNMP, Rlogin, LDAP, CouchDB vagy Oracle szolgáltatásokhoz tartoznak. Ha ilyen portot talál, akkor brute force módszerekkel próbálja kipuhatolni a bejelentkezési adatokat. A jelszótalálgatás mellett néhány exploittal is rendelkezik, amik a Hadoop, a Redis és az ActiveMQ ismert sebezhetőségeinek kihasználására alkalmasak.

A Python nyelven készült károkozó sok esetben nem kelti fel az antivírusok figyelmét, ezért célszerű a többrétegű védelemre hagyatkozni. A legfontosabb természetesen a kártékony program által célkeresztbe állított hálózati szolgáltatások kellő szintű védelme.