Логин
Пароль
Неверный логин/пароль
Введите логин, указанный вами при регистрации. Мы вышлем новый пароль.
Ваша учетная запись не найдена
Пароль выслан.

Новый бэкдор для Linux обладает широким функционалом

8 февраля 2015, 11:58

Специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца, предназначенного для заражения ОС Linux. Данная вредоносная программа обладает возможностью выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, а также реализует широкий спектр других функциональных возможностей.

Новая вредоносная программа для Linux, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков компании «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.

В первую очередь Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия троянца, и, если таковая обнаруживается, завершает свою работу. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.

Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троянец и управляющий сервер сжимают их с использованием библиотеки zlib.

Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем троянец переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.

Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троянец может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:

  • перечислить файлы и каталоги внутри указанного каталога;
  • отослать на сервер сведения о размере файла;
  • создать файл, в который можно будет сохранить принимаемые данные;
  • принять файл;
  • отправить файл на управляющий сервер;
  • удалить файл;
  • удалить каталог;
  • отправить управляющему серверу сигнал о готовности принять файл;
  • создать каталог;
  • переименовать файл;
  • запустить файл.

Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или запустить собственную реализацию сервера portmap.

Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web, и потому пользователи Антивируса Dr.Web для Linux защищены от действия этого троянца.

Подробнее о троянце

Источники

drweb.ru