DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Wykrycie nowego, wielofunkcyjnego backdoora dla Linuxa

22 stycznia 2016

Analitycy bezpieczeństwa Doctor Web przebadali wielofunkcyjnego trojana zaprojektowanego do infekowania urządzeń z systemem Linux. Jego złośliwa aktywność jest wyjątkowo wszechstronna i zawiera m.in. pobieranie różnych plików na zainfekowane urządzenie, przeprowadzanie różnych operacji na plikach, wykonywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy i wiele innych funkcji.

Ten złośliwy program został dodany do bazy wirusów Dr.Web pod nazwą Linux.BackDoor.Xunpes.1. Składa się on z droppera i backdoora, który wykonuje główne funkcje szpiegowskie na zainfekowanym urządzeniu.

Dropper został stworzony z użyciem Lazarusa, darmowego, wieloplatformowego zintegrowanego środowiska programistycznego dla kompilatora języka Free Pascal. Uruchomiony, wyświetla następujące okno dialogowe z listą urządzeń zaprojektowanych do przeprowadzania operacji na kryptowalucie Bitcoin:

#drweb

Kod droppera zawiera backdoora — drugi komponent trojana — który jest przechowywany w formie niezaszyfrowanej i zostaje zapisany w folderze /tmp/.ltmp/ tuż po uruchomieniu droppera. Ten backdoor jest odpowiedzialny za wykonywanie głównych złośliwych funkcji wirusa.

Tuż po uruchomieniu backdoor, napisany w języku C, odszyfrowuje swój plik konfiguracyjny z użyciem klucza zawartego w jego kodzie. Jego parametry konfiguracyjne zawierają listę serwerów C&C i adresy serwerów proxy, oraz inne informacje niezbędne do poprawnej pracy złośliwego programu. Następnie trojan zestawia połączenie z serwerem i oczekuje na komendy od cyberprzestępców.

W sumie, Linux.BackDoor.Xunpes.1 jest zdolny do wykonywania ponad 40 poleceń. Pośród nich znajduje się keylogging — rejestrowanie naciśnięć klawiszy na zainfekowanym urządzeniu — oraz pobranie i uruchomienie pliku, którego ścieżka i argumenty zostały odebrane z serwera (co kończy działanie backdoora). Oprócz tego backdoor potrafi wysyłać nazwy plików z określonego katalogu i ładować wybrane pliki na serwer. Dodatkowo trojan tworzy nowe oraz zmienia nazwy istniejących plików i katalogów, robi zrzuty ekranu, wykonuje polecenia powłoki (bash), a mimo to lista możliwych komend jest daleka od wyczerpania się.

Sygnatura Linux.BackDoor.Xunpes.1 została dodana do baz wirusów Dr. Web, dzięki temu użytkownicy Antywirusa Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.

Dowiedz się więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments