Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Wykrycie nowego, wielofunkcyjnego backdoora dla Linuxa

22 stycznia 2016

Analitycy bezpieczeństwa Doctor Web przebadali wielofunkcyjnego trojana zaprojektowanego do infekowania urządzeń z systemem Linux. Jego złośliwa aktywność jest wyjątkowo wszechstronna i zawiera m.in. pobieranie różnych plików na zainfekowane urządzenie, przeprowadzanie różnych operacji na plikach, wykonywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy i wiele innych funkcji.

Ten złośliwy program został dodany do bazy wirusów Dr.Web pod nazwą Linux.BackDoor.Xunpes.1. Składa się on z droppera i backdoora, który wykonuje główne funkcje szpiegowskie na zainfekowanym urządzeniu.

Dropper został stworzony z użyciem Lazarusa, darmowego, wieloplatformowego zintegrowanego środowiska programistycznego dla kompilatora języka Free Pascal. Uruchomiony, wyświetla następujące okno dialogowe z listą urządzeń zaprojektowanych do przeprowadzania operacji na kryptowalucie Bitcoin:

#drweb

Kod droppera zawiera backdoora — drugi komponent trojana — który jest przechowywany w formie niezaszyfrowanej i zostaje zapisany w folderze /tmp/.ltmp/ tuż po uruchomieniu droppera. Ten backdoor jest odpowiedzialny za wykonywanie głównych złośliwych funkcji wirusa.

Tuż po uruchomieniu backdoor, napisany w języku C, odszyfrowuje swój plik konfiguracyjny z użyciem klucza zawartego w jego kodzie. Jego parametry konfiguracyjne zawierają listę serwerów C&C i adresy serwerów proxy, oraz inne informacje niezbędne do poprawnej pracy złośliwego programu. Następnie trojan zestawia połączenie z serwerem i oczekuje na komendy od cyberprzestępców.

W sumie, Linux.BackDoor.Xunpes.1 jest zdolny do wykonywania ponad 40 poleceń. Pośród nich znajduje się keylogging — rejestrowanie naciśnięć klawiszy na zainfekowanym urządzeniu — oraz pobranie i uruchomienie pliku, którego ścieżka i argumenty zostały odebrane z serwera (co kończy działanie backdoora). Oprócz tego backdoor potrafi wysyłać nazwy plików z określonego katalogu i ładować wybrane pliki na serwer. Dodatkowo trojan tworzy nowe oraz zmienia nazwy istniejących plików i katalogów, robi zrzuty ekranu, wykonuje polecenia powłoki (bash), a mimo to lista możliwych komend jest daleka od wyczerpania się.

Sygnatura Linux.BackDoor.Xunpes.1 została dodana do baz wirusów Dr. Web, dzięki temu użytkownicy Antywirusa Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.

Dowiedz się więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A