Обнаружен многофункциональный бэкдор для Linux

375

Специалисты «Доктор Веб» завершили анализ многофункциональной троянской программы, которая способна инфицировать ОС Linux.

Вирус обладает весьма широким функционалом, включая работу с файлами, загрузку файлов с внешнего сервера,отслеживания нажатий клавиш, создания снимков экрана.

Вирус занесен в специализированные базы компании как Linux.BackDoor.Xunpes.1. Утилита состоит из дроппера и классического бэкдора, который отвечает за основной шпионский функционал.

Дроппер написан при помощи платформы Lazarus (среда разработки) для Free Pascal (компилятор). В момент запуска модуль демонстрирует стандартное диалоговое окно, в тексте которого упоминаются специализированные устройства, предназначенные для работы с виртуальной валютой Bitcoin.

В теле дроппера хранится второй модуль вируса (бэкдор), который после запуска дроппера копируется в каталог /tmp/.ltmp/. Именно данный компонент отвечает за основные вредоносные функции.

Бэкдор, созданный на языке C, после запуска расшифровывает файл конфигурации, для чего используется зашитый в тело вируса ключ. В параметрах конфигурации присутствует список управляющих серверов, проксисервера, а также другие данные, необходимые в процессе работы вредоносной программы.

После этого утилита устанавливает связь с сервером владельцев и ожидает получение новых инструкций.

Программа Linux.BackDoor.Xunpes.1 способна полноценно выполнять более сорока вредоносных команд.

Среди них: активация кейлоггера, загрузка и запуск файла с внешнего сервера (в этом случае бэкдор завершает свою работу), отправка злоумышленникам информации о содержимом определенного каталога, загрузка на сервер определенного файла,операции с файлами и каталогами (создание новых, переименование, удаление), создание скриншотов экрана, выполнение команд bash.

Сигнатура угрозы уже занесена в антивирусные базы, поэтому новый вирус не представляет опасности для пользователей надежного антивирусного ПО.

ОСТАВЬТЕ ОТВЕТ