Новый троян для Linux селится в видеокарте и переживает перезагрузку

Вирусописатели продемонстрировали концепт нового руткита под названием Jellyfish. Главной инновационной особенностью этого зловреда является его способность использовать для работы процессор видеокарты (GPU) и жить в оперативной памяти видеоускорителя.

ПМЖ в видеокарте обеспечивает Jellyfish полную невидимость. По словам специалистов по информационной безопасности, на сегодняшний день не существует антивирусных инструментов, которые могли бы обнаружить вредоносные объекты в видеопамяти, не говоря уже о лечении компьютера.

После того, как на компьютер жертвы устанавливается Jellyfish, вредонос начитает перехватывать нажатия клавиш в поисках паролей и использовать GPU для генерации криптовалют. Разработчики обещают, что скоро функциональность руткита будет расширена.

Самой зловещей способностью Jellyfish является возможность пережить выключение компьютера. Вредоносный код будет сохранен и получит управление при следующем включении. Как это реализовано пока не сообщается, ведь на видеокартах установлена обычная ОЗУ типа DDR, которая теряет хранимые данные при обесточивании. Тем не менее, вирусописатели сообщают, что нашли способ сохранить тело руткита в видеокарте. Таким образом, лечение жесткого диска не поможет, а инструментов для борьбы с вирусами в видеопамяти не существует. Получается, что гражданин, поймавший на компьютер Jellyfish, должен будет некоторое время смириться с кражей своих паролей и нецелевым использованием компьютера.

Удивительно, но Jellyfish предполагается распространять под свободной лицензией (уже сейчас можно найти исходный код на GitHub). Другой особенностью руткита — и весьма забавной — является зависимость от библиотеки OpenCL, которая используется для доступа к базовым функциям видеоускорителей от Nvidia и AMD. Если на компьютере эта библиотека не установлена, либо используется ускоритель другой фирмы, Jellyfish работать откажется.

 

Как защитить свой компьютер от установки Jellyfish?