Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web przebadał nowego backdoora dla Linuxa

20 października 2016

Większość trojanów typu backdoor została stworzona dla Microsoft Windows, jednakże kilka z nich potrafi infekować urządzenia z systemem Linux. Ten rzadki rodzaj trojana został przebadany przez specjalistów Doctor Web w październiku 2016.

Trojan, nazwany Linux.BackDoor.FakeFile.1, jest dystrybuowany jako archiwum pozornie zawierające plik PDF, albo dokument Microsoft lub Open Office.

Uruchomiony, trojan zapisuje sam siebie do folderu .gconf/apps/gnome-common/gnome-common, znajdującego się w katalogu domowym użytkownika. Następnie wyszukuje on ukryty plik, którego nazwa odpowiada nazwie pliku trojana i zastępuje ten plik wykonywalny plikiem zawierającym kod wirusa. Na przykład, jeśli plik ELF wirusa Linux.BackDoor.FakeFile.1 jest nazwany AnyName.pdf, to trojan będzie szukał ukrytego pliku pod nazwą .AnyName.pdf, a następnie zastąpi oryginalny plik swoim plikiem, używając polecenia mv .AnyName.pdf AnyName.pdf. Jeśli plik nie zostanie wykryty, Linux.BackDoor.FakeFile.1 utworzy go i otworzy w programie gedit.

Następnie trojan sprawdza nazwę zainstalowanej dystrybucji Linuxa: jeśli ta nazwa jest inna niż openSUSE, Linux.BackDoor.FakeFile.1 zapisuje komendę do pliku <HOME>/.profile lub pliku <HOME>/.bash_profile, co powoduje automatyczne uruchamianie się trojana. Następnie pozyskuje on dane konfiguracyjne ze swojego pliku i odszyfrowuje je. W kolejnym kroku ten złośliwy program uruchamia dwa wątki: pierwszy z nich współdzieli informacje z serwerem kontrolno-zarządzającym (C&C), a drugi monitoruje czas trwania połączenia. Jeśli trojan jest podłączony dłużej niż przez 30 minut bez odebrania instrukcji, to połączenie jest zrywane.

Linux.BackDoor.FakeFile.1 potrafi wykonywać następujące polecenia:

  • Wyślij na serwer C&C ilość wiadomości przesłanych podczas sesji;
  • Wyślij listę z zawartością określonego folderu;
  • Wyślij na serwer C&C określony plik lub folder z całą jego zawartością;
  • Usuń katalog;
  • Usuń plik;
  • Zmień nazwę folderu;
  • Usuń sam siebie;
  • Uruchom nową kopię procesu;
  • Zamknij bieżącą sesję;
  • Zestaw połączenie zwrotne i uruchom powłokę sh;
  • Zakończ połączenie zwrotne;
  • Otwórz do zapisu plik wykonywalny procesu;
  • Zamknij plik procesu;
  • Utwórz plik lub folder;
  • Zapisz przesłane wartości do pliku;
  • Pozyskaj nazwy, uprawnienia, rozmiary i daty utworzenia plików w określonym katalogu;
  • Ustaw uprawnienia 777 dla określonego pliku;
  • Zakończ działanie backdoora.

Linux.BackDoor.FakeFile.1 nie wymaga do działania uprawnień root’a — potrafi wykonywać swoje złośliwe funkcje z użyciem uprawnień bieżącego konta użytkownika z którego został uruchomiony. Sygnatura tego trojana została już dodana do bazy Dr.Web dla Linuxa i jest on z powodzeniem wykrywany i usuwany przez produkty antywirusowe Doctor Web.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A