Trojan Rekoobe zagraża użytkownikom Linuxa
Wiadomości o aktywnych zagrożeniach | Hot news | All the news | Ostrzeżenia wirusowe
3 grudnia 2015
Warto zauważyć, że pierwsze modyfikacje Linux.Rekoobe.1 były przeznaczone do infekowania urządzeń z systemem Linux opartych na architekturze SPARC, jednakże twórcy wirusa zmodyfikowali trojana, aby był kompatybilny z komputerami opartymi na procesorach firmy Intel. Specjaliści Doctor Web zarejestrowali próbki Linux.Rekoobe.1 dla 32- jak i 64 bitowych systemów Linux kompatybilnych z architekturą Intela.
Linux.Rekoobe.1 wykorzystuje zaszyfrowany plik konfiguracyjny. Gdy ten plik zostanie odczytany, trojan okresowo odwołuję się do serwera C&C w celu otrzymania poleceń. W określonych okolicznościach połączenie z serwerem jest zestawiane poprzez serwer proxy. Malware wypakowuje dane autoryzacyjne ze swojego pliku konfiguracyjnego. Wszystkie wysyłane i odbierane informacje są dzielone w oddzielne bloki. Każdy blok jest szyfrowany i zawiera swój własny podpis.
W celu weryfikacji zaszyfrowanych danych odebranych z serwera C&C, Linux.Rekoobe.1 stosuje dość skomplikowaną procedurę. Niemniej jednak Linux.Rekoobe.1 potrafi wykonywać tylko trzy komendy takie jak: pobieranie lub ładowanie plików, wysyłanie odebranych poleceń do powłoki systemu Linux i przesyłanie wyników działania tych poleceń na zdalny serwer — w ten sposób cyberprzestępcy są zdolni do zdalnego komunikowania się z zaatakowanym urządzeniem.
Sygnatury wszystkich znanych próbek Linux.Rekoobe.1 zostały dodane do bazy wirusów Dr.Web, dlatego użytkownicy Antywirusa Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.