20 października 2016

Większość trojanów typu backdoor została stworzona dla Microsoft Windows, jednakże kilka z nich potrafi infekować urządzenia z systemem Linux. Ten rzadki rodzaj trojana został przebadany przez specjalistów Doctor Web w październiku 2016.

Trojan, nazwany Linux.BackDoor.FakeFile.1, jest dystrybuowany jako archiwum pozornie zawierające plik PDF, albo dokument Microsoft lub Open Office.

Uruchomiony, trojan zapisuje sam siebie do folderu .gconf/apps/gnome-common/gnome-common, znajdującego się w katalogu domowym użytkownika. Następnie wyszukuje on ukryty plik, którego nazwa odpowiada nazwie pliku trojana i zastępuje ten plik wykonywalny plikiem zawierającym kod wirusa. Na przykład, jeśli plik ELF wirusa Linux.BackDoor.FakeFile.1 jest nazwany AnyName.pdf, to trojan będzie szukał ukrytego pliku pod nazwą .AnyName.pdf, a następnie zastąpi oryginalny plik swoim plikiem, używając polecenia mv .AnyName.pdf AnyName.pdf. Jeśli plik nie zostanie wykryty, Linux.BackDoor.FakeFile.1 utworzy go i otworzy w programie gedit.

Następnie trojan sprawdza nazwę zainstalowanej dystrybucji Linuxa: jeśli ta nazwa jest inna niż openSUSE, Linux.BackDoor.FakeFile.1 zapisuje komendę do pliku <HOME>/.profile lub pliku <HOME>/.bash_profile, co powoduje automatyczne uruchamianie się trojana. Następnie pozyskuje on dane konfiguracyjne ze swojego pliku i odszyfrowuje je. W kolejnym kroku ten złośliwy program uruchamia dwa wątki: pierwszy z nich współdzieli informacje z serwerem kontrolno-zarządzającym (C&C), a drugi monitoruje czas trwania połączenia. Jeśli trojan jest podłączony dłużej niż przez 30 minut bez odebrania instrukcji, to połączenie jest zrywane.

Linux.BackDoor.FakeFile.1 potrafi wykonywać następujące polecenia:

• Wyślij na serwer C&C ilość wiadomości przesłanych podczas sesji;
• Wyślij listę z zawartością określonego folderu;
• Wyślij na serwer C&C określony plik lub folder z całą jego zawartością;
• Usuń katalog;
• Usuń plik;
• Zmień nazwę folderu;
• Usuń sam siebie;
• Uruchom nową kopię procesu;
• Zamknij bieżącą sesję;
• Zestaw połączenie zwrotne i uruchom powłokę sh;
• Zakończ połączenie zwrotne;
• Otwórz do zapisu plik wykonywalny procesu;
• Zamknij plik procesu;
• Utwórz plik lub folder;
• Zapisz przesłane wartości do pliku;
• Pozyskaj nazwy, uprawnienia, rozmiary i daty utworzenia plików w określonym katalogu;
• Ustaw uprawnienia 777 dla określonego pliku;
• Zakończ działanie backdoora.

Linux.BackDoor.FakeFile.1 nie wymaga do działania uprawnień root’a — potrafi wykonywać swoje złośliwe funkcje z użyciem uprawnień bieżącego konta użytkownika z którego został uruchomiony. Sygnatura tego trojana została już dodana do bazy Dr.Web dla Linuxa i jest on z powodzeniem wykrywany i usuwany przez produkty antywirusowe Doctor Web.

Więcej na temat tego trojana