22 stycznia 2016
Ten złośliwy program został dodany do bazy wirusów Dr.Web pod nazwą Linux.BackDoor.Xunpes.1. Składa się on z droppera i backdoora, który wykonuje główne funkcje szpiegowskie na zainfekowanym urządzeniu.
Dropper został stworzony z użyciem Lazarusa, darmowego, wieloplatformowego zintegrowanego środowiska programistycznego dla kompilatora języka Free Pascal. Uruchomiony, wyświetla następujące okno dialogowe z listą urządzeń zaprojektowanych do przeprowadzania operacji na kryptowalucie Bitcoin:
Kod droppera zawiera backdoora — drugi komponent trojana — który jest przechowywany w formie niezaszyfrowanej i zostaje zapisany w folderze /tmp/.ltmp/ tuż po uruchomieniu droppera. Ten backdoor jest odpowiedzialny za wykonywanie głównych złośliwych funkcji wirusa.
Tuż po uruchomieniu backdoor, napisany w języku C, odszyfrowuje swój plik konfiguracyjny z użyciem klucza zawartego w jego kodzie. Jego parametry konfiguracyjne zawierają listę serwerów C&C i adresy serwerów proxy, oraz inne informacje niezbędne do poprawnej pracy złośliwego programu. Następnie trojan zestawia połączenie z serwerem i oczekuje na komendy od cyberprzestępców.
W sumie, Linux.BackDoor.Xunpes.1 jest zdolny do wykonywania ponad 40 poleceń. Pośród nich znajduje się keylogging — rejestrowanie naciśnięć klawiszy na zainfekowanym urządzeniu — oraz pobranie i uruchomienie pliku, którego ścieżka i argumenty zostały odebrane z serwera (co kończy działanie backdoora). Oprócz tego backdoor potrafi wysyłać nazwy plików z określonego katalogu i ładować wybrane pliki na serwer. Dodatkowo trojan tworzy nowe oraz zmienia nazwy istniejących plików i katalogów, robi zrzuty ekranu, wykonuje polecenia powłoki (bash), a mimo to lista możliwych komend jest daleka od wyczerpania się.
Sygnatura Linux.BackDoor.Xunpes.1 została dodana do baz wirusów Dr. Web, dzięki temu użytkownicy Antywirusa Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments