Поделиться
Всемирно известная модификация Linux Ubuntu превратилась в вирус. Предупреждавших об этом пользователей блокировали
Сайт Xubuntu (Ubuntu с оболочкой Xfce вместо GNOME) взломан. На была размещена ссылка на скачивание вируса вместо самого дистрибутива. Владельцы сайта банили пользователей, указавших на проблему, и ничего не исправляли.
Вирус под видом Linux
Официальный сайт всемирно известного дистрибутива Linux Xubuntu взломан неизвестными киберпреступниками. Внешне он никак не изменился – хакеры поменяли лишь все ссылки, которые должны вести на ISO-образ системы.
Xubuntu – это модификация Ubuntu для тех, кто не желает разбираться с громоздкой и тяжелой оболочкой GNOME, у которой есть некоторые проблемы с потреблением системных ресурсов. Вместо нее в Xubuntu интегрирована среда Xfce – быстрая и легкая, к тому же сильно напоминающая Windows 11 по своему внешнему виду.
На странице загрузки Xubuntu все ссылки начали вести не на фирменные торрент-файлы, как было первоначально, а на ZIP-архив с вирусом. Притом, что самое важное, его разместили прямо в каталоге сайта, чтобы при наведении на ссылку даже у продвинутых пользователей не возникали вопросы.
Справедливость почти восстановлена
На момент выхода материала скачать дистрибутив по-прежнему было нельзя, однако доступ к опасному архиву разработчики Xubuntu закрыли. Однако кнопки «скачать» хоть и больше не вели на опасный архив, но и к корректным файлам тоже не были привязаны. Они фактически не работали, и их нажатие ни к чему не приводило ни в одном из доступных редактору CNews браузеров, в том числе и на смартфоне.
При попытке принудительно скачать опасный архив (ссылка на него есть в свободном доступе в интернете, CNews не может ее привести) установленный на ПК антивирус начинает бить тревогу. На устройствах без антивирусной защиты браузер возвращает ошибку 503.
Сайт Xubuntu сверстан на движке WordPress, репутация у которого в плане уровня безопасности далеко не самая лучшая. Как пишет портал OpenNet, взломать Xubuntu.org хакеры могли при помощи уязвимости в одном из плагинов к этому движку, который мог давно не обновляться. Что именно это за плагин, эксперты OpenNet не уточняют.
Что внутри файла
Архив с неприятным сюрпризом внутри носил название Xubuntu-Safe-Download.zip и «весил» около 22 КБ, что в разы меньше, нежели обычно «весят» дистрибутивы ОС – они занимают несколько гигабайтов. Внутри него находилась программа под Windows.
Согласно сайту VirusTotal, 23 антивируса считают, что это вредоносное ПО. Так, Kaspersky определяет его как HEUR:Trojan.MSIL.Agent.gen, а BitDefender – как Trojan.GenericKD.77587264.
Чтобы не вызывать у пользователей подозрений, программа выводит на экран простенький интерфейс выбора модификации Xubuntu скачивания нужной версии дистрибутива и кнопку Generate Download Link. Если ее нажать, то в системном каталоге AppData\Roaming появляется исполняемый файл elzvcf.exe, который прописывается в автозагрузку через реестр. По предварительным данным, эта программа «анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников», пишет OpenNet.
К чему спешка
Доподлинно неизвестно когда именно были внедрены ссылки на вредоносное ПО. Согласно данным сервиса archive.org, это могло произойти в промежутке между 11 и 18 октября 2025 г.
11 октября 2025 г. на сайте Xubuntu ссылки вели на правильные файлы, а вот 18 октября 2025 г. – уже нет.
Важно отметить, что пострадали только прямые ссылки на торрент-файлы с дистрибутивом Xubuntu. По неизвестным причинам хакеры не тронули ссылки на зеркала – они остались корректными.
Хакеры, в теории, могли проникнуть в недра сайта Xubuntu намного раньше и ничем себя не выдавать. По данным портала OpenNet, 10 сентября 2025 г. в официальном блоге на сайте Xubuntu появилась жалоба пользователя, в которой он упоминал рекламу казино в этом же блоге. Но все это было очень быстро удалено, и больше никаких упоминаний о спаме не поступало.
Короткая ссылка
