Поделиться
«Доктор Веб» обнаружил многофункциональный бэкдор для Linux
Специалисты компании «Доктор Веб» проанализировали многофункционального трояна, способного заражать работающие под управлением ОС Linux устройства. Этот бэкдор имеет шиирокий спектр возможностей, среди которых — функции загрузки на инфицированное устройство различных файлов, выполнение операций с файловыми объектами, создание снимков экрана, отслеживание нажатий клавиш и многое другое, сообщили CNews в «Доктор Веб».
Данная вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.BackDoor.Xunpes.1, состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции. Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin:
При вводе произвольных значений (кроме нескольких зашитых в теле трояна) на экране последовательно отобразятся надписи «Initializing», «Connecting», «Signing in», а затем появится сообщение «Incorrect user ID or password. Please try again». Если пользователь введет заранее предусмотренные злоумышленником логин и пароль, то в этом случае троян отреагирует на это событие сообщением «An error occurred while attempting to login: invalid user token».
В теле данного дроппера в незашифрованном виде хранится второй компонент трояна — бэкдор, который при запуске дроппера сохраняется в папку /tmp/.ltmp/. Именно он выполняет основные вредоносные функции на зараженном устройстве.
Бэкдор, написанный на языке С, при запуске расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента вредоносной программы — список управляющих серверов и прокси-серверов, используемых в процессе соединения, а также иные данные, необходимые для работы программы. После этого троян соединяется с управляющим сервером и ожидает поступления команд от злоумышленников.
Всего Linux.BackDoor.Xunpes.1 способен выполнять более 40 команд, среди которых — директива включения функции сохранения нажатий пользователем клавиш (кейлоггинг), загрузки и запуска файла, путь и аргументы которого приходят с удаленного сервера (при этом сам бэкдор завершается), передачи злоумышленникам имен файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания снимков экрана (скриншотов), выполнения команд bash, а также многие другие.
Сигнатура трояна Linux.BackDoor.Xunpes.1 добавлена в вирусные базы Dr.Web, и потому пользователи «Антивируса Dr.Web для Linux» защищены от этой угрозы, указали в компании.
Короткая ссылка
