Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web przebadał nowego backdoora dla Linuxa

20 października 2016

Większość trojanów typu backdoor została stworzona dla Microsoft Windows, jednakże kilka z nich potrafi infekować urządzenia z systemem Linux. Ten rzadki rodzaj trojana został przebadany przez specjalistów Doctor Web w październiku 2016.

Trojan, nazwany Linux.BackDoor.FakeFile.1, jest dystrybuowany jako archiwum pozornie zawierające plik PDF, albo dokument Microsoft lub Open Office.

Uruchomiony, trojan zapisuje sam siebie do folderu .gconf/apps/gnome-common/gnome-common, znajdującego się w katalogu domowym użytkownika. Następnie wyszukuje on ukryty plik, którego nazwa odpowiada nazwie pliku trojana i zastępuje ten plik wykonywalny plikiem zawierającym kod wirusa. Na przykład, jeśli plik ELF wirusa Linux.BackDoor.FakeFile.1 jest nazwany AnyName.pdf, to trojan będzie szukał ukrytego pliku pod nazwą .AnyName.pdf, a następnie zastąpi oryginalny plik swoim plikiem, używając polecenia mv .AnyName.pdf AnyName.pdf. Jeśli plik nie zostanie wykryty, Linux.BackDoor.FakeFile.1 utworzy go i otworzy w programie gedit.

Następnie trojan sprawdza nazwę zainstalowanej dystrybucji Linuxa: jeśli ta nazwa jest inna niż openSUSE, Linux.BackDoor.FakeFile.1 zapisuje komendę do pliku <HOME>/.profile lub pliku <HOME>/.bash_profile, co powoduje automatyczne uruchamianie się trojana. Następnie pozyskuje on dane konfiguracyjne ze swojego pliku i odszyfrowuje je. W kolejnym kroku ten złośliwy program uruchamia dwa wątki: pierwszy z nich współdzieli informacje z serwerem kontrolno-zarządzającym (C&C), a drugi monitoruje czas trwania połączenia. Jeśli trojan jest podłączony dłużej niż przez 30 minut bez odebrania instrukcji, to połączenie jest zrywane.

Linux.BackDoor.FakeFile.1 potrafi wykonywać następujące polecenia:

  • Wyślij na serwer C&C ilość wiadomości przesłanych podczas sesji;
  • Wyślij listę z zawartością określonego folderu;
  • Wyślij na serwer C&C określony plik lub folder z całą jego zawartością;
  • Usuń katalog;
  • Usuń plik;
  • Zmień nazwę folderu;
  • Usuń sam siebie;
  • Uruchom nową kopię procesu;
  • Zamknij bieżącą sesję;
  • Zestaw połączenie zwrotne i uruchom powłokę sh;
  • Zakończ połączenie zwrotne;
  • Otwórz do zapisu plik wykonywalny procesu;
  • Zamknij plik procesu;
  • Utwórz plik lub folder;
  • Zapisz przesłane wartości do pliku;
  • Pozyskaj nazwy, uprawnienia, rozmiary i daty utworzenia plików w określonym katalogu;
  • Ustaw uprawnienia 777 dla określonego pliku;
  • Zakończ działanie backdoora.

Linux.BackDoor.FakeFile.1 nie wymaga do działania uprawnień root’a — potrafi wykonywać swoje złośliwe funkcje z użyciem uprawnień bieżącego konta użytkownika z którego został uruchomiony. Sygnatura tego trojana została już dodana do bazy Dr.Web dla Linuxa i jest on z powodzeniem wykrywany i usuwany przez produkty antywirusowe Doctor Web.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2021

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A