«Доктор Веб» сообщил о появлении нового Linux-трояна, атакующего сайты под различными CMS, устраивающего DDoS-атаки, спамящего и самостоятельно распространяющегося по сети.
Троян, названный Linux.Rex.1, относится к наиболее продвинутым ботнетам, функционирующим без команд с управляющих серверов и напрямую обменивающихся информацией между зараженными узлами благодаря особому протоколу, встроенному в архитектуру Linux.Rex.1 и позволяющему создавать децентрализованные P2P-ботнеты.
Троян принимает команды от уже зараженных компьютеров и распространяет их по узлам ботнета. По этим командам он может начинать и останавливать DDoS-атаки на узлы с заданными IP-адресами. Linux.Rex.1 сканирует интернет в поисках сайтов с системами управления контентом Wordpress, Drupal, JetSpeed, Magento и других. Он пользуется известными уязвимостями CMS для получения списков пользователей, закрытых SSH-ключей, логинов и паролей, хранящихся на удаленных узлах и рассылок спама. В таких рассылках владельцам сайтов чаще всего угрожают DDoS-атаками и предлагают откупиться в биткоинах.