Исследователи «поймали» вредоносное ПО для Windows Subsystem в Linux

Вредоносное программное обеспечение, работающее в среде Windows Subsystem для Linux (WSL) обнаружили эксперты команды Black Lotus Labs американской телекоммуникационной компании Lumen Technologies, 18 сентября сообщает портал The Register.

Вредоносный код был написан на Python 3 и скомпилирован утилитой PyInstaller в бинарный формат ELF для Debian Linux. Он целенаправленно атаковал подсистему Windows и через нее получал доступ к зараженной машине.

«Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — сообщили исследователи.

По словам представителей Black Lotus Labs, сервис VirusTotal не находит в файлах ничего подозрительного, что говорит о том, что большинство сегодняшних антивирусов не распознают эти файлы как вредоносные.

Вирус «пойман» экспертами в двух вариантах. Первый написан на чистом Python, а второй использует дополнительные библиотеки. Второй вариант, согласно версии исследователей, еще не полностью готов, и злоумышленники продолжают его дорабатывать. Об этом говорит то, что он толком еще не может выполнять свои функции.

Тем не менее, отслежена попытка зловредного ПО на зараженной машине связаться с удаленным IP-адресом, имеющим отношение к Эквадору и Франции. Предположительно, так создатель вредоносной программы пытался отладить код VPN или прокси-сервера.