Компания «Доктор Веб» сообщает, что хакеры определенно перестали обходить вниманием операционные системы семейства Linux. Вирусные аналитики обнаружили троян Linux.Rekoobe.1, способный обмениваться с C&C сервером различными файлами, а также взаимодействовать с командным интерпретатором Linux на инфицированном устройстве.
Для работы Linux.Rekoobe.1 использует зашифрованный файл конфигурации. После чтения содержимого файла, троян с определенной периодичностью обращается к управляющему серверу для получения команд. Связь с C&C сервером вредонос старается держать через прокси-сервер, данные для авторизации на котором он извлекает из собственного файла конфигурации. Вся отправляемая и принимаемая троянцем информация разбивается на отдельные блоки, каждый из которых шифруется и снабжается собственной подписью.
Первые версии Linux.Rekoobe.1 были ориентированы на устройства, работающие под управлением Linux с архитектурой SPARC. Позже хакеры, очевидно, решили модифицировать малварь, чтобы она также была совместима с платформой Intel. При этом специалистам компании «Доктор Веб» известны образцы Linux.Rekoobe.1 как для 32-, так и для 64-разрядных Intel-совместимых версий ОС Linux.
Linux.Rekoobe.1 обладает сложной системой проверки подлинности получаемых от управляющего сервера «посылок» с зашифрованной информацией. Несмотря на столь запутанный механизм работы, Linux.Rekoobe.1 способен выполнять всего три команды. Троян может скачивать с управляющего сервера файлы или загружать их туда. Плюс он умеет передавать принимаемые директивы командному интерпретатору Linux и транслировать полученный вывод на удаленный сервер. Таким образом атакующие могут удаленно взаимодействовать с инфицированным устройством.
Фото: Softpedia