В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".

Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.

При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552).

Источник