Аналітики «Доктора Веба» опублікували на офіційному сайті компанії докладну розповідь про нового Linux-троянця, який здатний атакувати сайти, що працюють під управлінням різних CMS, здійснювати DDoS-атаки, розсилати електронні листи і самостійно поширюватися по мережі.
Зловред, який отримав найменування Linux.Rex.1, належить до найбільш просунутої категорії ботнетів, які здатні функціонувати без отримання команд з керуючих серверів, безпосередньо передаючи інформацію від одного зараженого вузла до іншого. За це відповідає особливий протокол, вбудований в архітектуру Linux.Rex.1, який дозволяє створювати таким чином децентралізований P2P-ботнет.
Троянець приймає від інших інфікованих комп'ютерів керівні директиви за протоколом HTTPS і при необхідності передає їх іншим вузлам ботнету. За командою Linux.Rex.1 починає або зупиняє DDoS-атаку на вузол із заданою IP-адресою. Троянець також здатний сканувати мережу в пошуках веб-сайтів, на яких встановлені системи управління контентом Drupal, Wordpress, Magento, JetSpeed та інші. Linux.Rex.1 використовує відомі вразливості в цих програмних продуктах, щоб отримати список користувачів, закриті SSH-ключі, логіни і паролі, що зберігаються на віддалених вузлах.
Крім цього, Linux.Rex.1 використовується для розсилки спаму електронною поштою. У цих листах зловмисники погрожують власникам веб-сайтів організувати на них DDoS-атаку, і, щоб уникнути атаки, потенційній жертві пропонується заплатити викуп у криптовалюті біткойн.
