Trojan Rekoobe zagraża użytkownikom Linuxa

3 grudnia 2015

Ilość złośliwych programów dla Linuxa oraz ich możliwości wzrastają z dnia na dzień. Trojan Linux.Rekoobe.1, przebadany przez analityków bezpieczeństwa Doctor Web, jest zdolny do pobierania plików z serwera kontrolno-zarządzającego (serwera C&C) i do ładowania plików na zdalny serwer. Trojan potrafi również współdziałać z interpreterem poleceń (powłoką) systemu Linux na zaatakowanym urządzeniu.

Warto zauważyć, że pierwsze modyfikacje Linux.Rekoobe.1 były przeznaczone do infekowania urządzeń z systemem Linux opartych na architekturze SPARC, jednakże twórcy wirusa zmodyfikowali trojana, aby był kompatybilny z komputerami opartymi na procesorach firmy Intel. Specjaliści Doctor Web zarejestrowali próbki Linux.Rekoobe.1 dla 32- jak i 64 bitowych systemów Linux kompatybilnych z architekturą Intela.

Linux.Rekoobe.1 wykorzystuje zaszyfrowany plik konfiguracyjny. Gdy ten plik zostanie odczytany, trojan okresowo odwołuję się do serwera C&C w celu otrzymania poleceń. W określonych okolicznościach połączenie z serwerem jest zestawiane poprzez serwer proxy. Malware wypakowuje dane autoryzacyjne ze swojego pliku konfiguracyjnego. Wszystkie wysyłane i odbierane informacje są dzielone w oddzielne bloki. Każdy blok jest szyfrowany i zawiera swój własny podpis.

W celu weryfikacji zaszyfrowanych danych odebranych z serwera C&C, Linux.Rekoobe.1 stosuje dość skomplikowaną procedurę. Niemniej jednak Linux.Rekoobe.1 potrafi wykonywać tylko trzy komendy takie jak: pobieranie lub ładowanie plików, wysyłanie odebranych poleceń do powłoki systemu Linux i przesyłanie wyników działania tych poleceń na zdalny serwer — w ten sposób cyberprzestępcy są zdolni do zdalnego komunikowania się z zaatakowanym urządzeniem.

Sygnatury wszystkich znanych próbek Linux.Rekoobe.1 zostały dodane do bazy wirusów Dr.Web, dlatego użytkownicy Antywirusa Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.

Więcej na temat tego trojana