23 lipca 2015, Warszawa

Analitycy bezpieczeństwa Doctor Web przebadali nowego backdoora Linux.BackDoor.Dklkt.1 wymierzonego w systemy operacyjne Linux. Twórcy tego złośliwego programu planowali wyposażyć go w szeroki zasób funkcji, ale ich wdrożenie okazało się problematyczne - na chwilę obecną nie wszystkie komponenty programu pracują tak, jak powinny.

Backdoor nazwany przez Doctor Web jako Linux.BackDoor.Dklkt.1 prawdopodobnie pochodzi z Chin. Twórcy wirusa próbowali stworzyć wielokomponentowy złośliwy program, zawierający dużą ilość funkcjonalności, m.in. chcieli wyposażyć go w funkcje typowe dla menedżerów plików, trojanów DDoS, serwerów proxy, itd. Jednak nie wszystkie z tych planów się powiodły. Co więcej, twórcy wirusa spróbowali stworzyć program wieloplatformowy (cross-platform), aby plik wykonywalny mógł być wmontowany zarówno w architekturę systemu Linux jak i Windows. Tymczasem, przez nieostrożność cyberprzestępców, dezasemblowany kod zawiera kilka nietypowych konstrukcji, które nie działają w systemie Linux.

Po uruchomieniu Linux.BackDoor.Dklkt.1 sprawdza folder, z którego został uruchomiony, pod kątem obecności pliku konfiguracyjnego zawierającego wszystkie ustawienia niezbędne do działania wirusa. Ten plik zawiera trzy adresy serwerów kontrolno-zarządzających, jeden z nich jest używany przez backdoora, podczas gdy dwa pozostałe są zapisane w charakterze serwerów zapasowych. Plik konfiguracyjny jest zaszyfrowany z użyciem algorytmu Base64. Gdy Linux.BackDoor.Dklkt.1 zostanie aktywowany, próbuje zarejestrować się w systemie jako domena (usługa systemowa). Jeśli ta próba nie powiedzie się, backdoor kończy swoją pracę.

Gdy złośliwy program pomyślnie się uruchomi, wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym systemie; co więcej, wysyłane dane są poddane kompresji LZO i zaszyfrowane algorytmem Blowfish. Dodatkowo każdy pakiet zawiera sumę kontrolną, więc odbiorca może zweryfikować integralność danych.

Następnie Linux.BackDoor.Dklkt.1 oczekuje na nadchodzące komendy, które mogą zawierać polecenie uruchomienia ataku DDoS, uruchomienia serwera SOCKS proxy, uruchomienia określonej aplikacji, ponownego uruchomienia komputera lub wyłączenia go. Inne komendy są ignorowane lub przetwarzane nieprawidłowo. Linux.BackDoor.Dklkt.1 może zestawiać następujące ataki DDoS:

• SYN Flood
• HTTP Flood (żądania POST/GET)
• ICMP Flood
• TCP Flood
• UDP Flood

Sygnatura Linux.BackDoor.Dklkt.1 została dodana do baz wirusów Dr.Web. Tym samym użytkownicy Antywirusa Dr.Web dla Linux są chronieni przed tym zagrożeniem.