Исследован новый бэкдор для Linux

Discussion in 'Мировые новости. Обсуждения.' started by +, 21 Oct 2016.

  1. +
    [​IMG]


    «Доктор Веб» исследовал бэкдор для Linux. Об этом 20 октября сообщается в блоге компании.

    «Большинство троянцев-бэкдоров представляет угрозу для ОС Windows, однако некоторые могут работать на устройствах под управлением Linux. Именно такого троянца исследовали в октябре 2016 года специалисты компании «Доктор Веб».

    Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.

    При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.

    После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.

    Linux.BackDoor.FakeFile.1 может выполнять следующие команды:

    - передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
    - передать список содержимого заданной папки;
    - передать на управляющий сервер указанный файл или папку со всем содержимым;
    - удалить каталог;
    - удалить файл;
    - переименовать указанную папку;
    - удалить себя;
    - запустить новую копию процесса;
    - закрыть текущее соединение;
    - организовать backconnect и запустить sh;
    - завершить backconnect;
    - открыть исполняемый файл процесса на запись;
    -закрыть файл процесса;
    - создать файл или папку;
    - записать переданные значения в файл;
    - получить имена, разрешения, размеры и даты создания файлов в указанной директории;
    - установить права 777 на указанный файл;
    - завершить выполнение бэкдора.

    Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура троянца добавлена в вирусные базы Dr.Web, поэтому он не представляет опасности для наших пользователей.»

     
    #1 +, 21 Oct 2016
(You must log in or sign up to post here.)