«Доктор Веб» изучил бэкдор для Linux
20 окт 2016 18:20 #47075
от ICT
ICT создал тему: «Доктор Веб» изучил бэкдор для Linux
Специалисты компании «Доктор Веб» в октябре 2016 г. исследовали троян-бэкдор, способный работать на устройствах под управлением Linux. Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office, сообщили CNews в «Доктор Веб». При запуске трояне сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit, рассказали в компании. После этого троян проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME/.profile> или <HOME/.bash_profile> команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если трояну не поступало команд более 30 минут, соединение разрывается. Как обнаружили специалисты «Доктор Веб», Linux.BackDoor.FakeFile.1 может выполнять следующие команды: передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения; передать список содержимого заданной папки; передать на управляющий сервер указанный файл или папку со всем содержимым; удалить каталог; удалить файл; переименовать указанную папку; удалить себя; запустить новую копию процесса; закрыть текущее соединение; организовать backconnect и запустить sh; завершить backconnect; открыть исполняемый файл процесса на запись; закрыть файл процесса; создать файл или папку; записать переданные значения в файл; получить имена, разрешения, размеры и даты создания файлов в указанной директории; установить права 777 на указанный файл; завершить выполнение бэкдора. Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура трояна добавлена в вирусные базы Dr.Web. Your browser does not support the video tag.
CNews Forum 2016: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Доктор Веб» обнаружил многофункциональный бэкдор для Linux | 20.46 | Пятница, 22 января 2016 |
«Доктор Веб» обнаружил новый бэкдор для Linux | 20.46 | Понедельник, 20 ноября 2017 |
«Доктор Веб» обнаружила новый бэкдор для Mac | 14.93 | Пятница, 12 мая 2017 |
«Доктор Веб» исследовал бэкдор, написанный на Python | 14.77 | Вторник, 17 октября 2017 |
Обнаружен новый бэкдор для Linux | 13.96 | Четверг, 23 июля 2015 |
«Доктор Веб» исследовал новый троян для Linux | 12.35 | Четверг, 03 декабря 2015 |
«Доктор Веб» исследовал многокомпонентного троянца для Linux | 12.35 | Четверг, 25 мая 2017 |
«Доктор Веб» обнаружил очередной троян-шифровальщик для Linux | 12.21 | Четверг, 19 ноября 2015 |
«Доктор Веб» выпустил новую версию антивируса для Linux | 12.21 | Среда, 27 апреля 2016 |
«Доктор Веб» исследовал Linux-троян, написанный на Rust | 12.21 | Четверг, 08 сентября 2016 |