Linux/Remaiten combineert de
eigenschappen van de twee vorige versies van de bot en voegt er een nieuw
verspreidingswijze aan toe waarmee geïntegreerde apparatuur wordt besmet
Vorsers bij ESET hebben een
nieuwe en verbeterde versie ontdekt van Kaiten, een door IRC (Internet Relay
Chat) gecontroleerde malware dat doorgaans gebruikt wordt om DDoS (Distributed
Denial of Service) aanvallen te verspreiden. De herwerkte malware werd
‘KTN-Remastered’ of ‘KTN-RM’ gedoopt en drie versies van Linux/Remaiten werden
al door de vorsers van ESET geïdentificeerd. De hoofdeigenschap van deze
malware is een verbeterd spreidingsmechanisme gebaseerd op code-elementen.
Van oorsprong gebaseerd op de telnet
Linux/Gafgyt scan, verbetert KTN-RM de verspreidingswijze door een downloader
met executable binairies voor geïntegreerde platformen zoals routers en andere
geconnecteerde apparaten. De doelgroep bestaat vooral uit apparatuur met zwakke
inloggegevens.
“Bovendien bestaat de taak van de
downloader erin via de Linus/Remaiten bot aan de bevel en controle server zijn
huidige architectuur op te vragen. Eens uitgevoerd, creëert die een andere bot
die dan door de criminelen wordt gebruikt. We hebben gemerkt dat deze techniek
voorheen al gebruikt werd door Linux/Moose om infecties te verspreiden”,
verduidelijkt Michal Malik, malware researcher bij ESET.
Vreemd genoeg bevat dit type malware eveneens
een bericht voor zij die de bedreiging zouden willen neutraliseren.
“In het welkomstbericht blijkt dat versie
2.0 malwaremustdie.org heeft gekozen, die al uitvoerig details
publiceerde over Gafgyt, Tsunami en andere leden uit deze
malwarefamilie,” aldus Malik.
Meer details over Linux/Remaiten zijn
beschikbaar in een artikel van Michal Malik op de officiële security blog van
ESET www.WeLiveSecurity.com