Специалисты «Доктор Веб» обнаружили уже второй на этой неделе троян, поражающий компьютеры под управлением Linux. Похоже, изначально малварь Linux.BackDoor.Xunpes.1 создавалась для атак на Bitcoin-банкоматы испанского стартапа Pay MaQ, но оказалось, что вредонос также прекрасно работает против других устройств на базе Linux.
Новый образчик малвари чем-то похож на обнаруженный ранее на этой неделе троян Linux.Ekoms.1, однако новая инфекция сложнее и опаснее. Компания сообщает, что вредонос обладает широким спектром возможностей: имеет функцию загрузки на инфицированное устройство различных файлов, может выполнять операции с файловыми объектами, делать снимки экрана, отслеживать нажатия клавиш и многое другое.
Linux.BackDoor.Xunpes.1 состоит из дроппера и бэкдора, выполняющего на зараженном устройстве основные шпионские функции. Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal. При запуске он демонстрирует диалоговое окно, в котором упоминаются устройства, предназначенных для выполнения операций с криптовалютой Bitcoin. Также малварь содержит три логина и пароля, подходящих к этому окну авторизации. Специалисты «Доктор Веб» предполагают, что авторы вредоноса могли попросту забыть удалить эти данные, которые являлись частью процесса отладки. Дело в том, что банкоматы Pay MaQ так и не сумели добраться до рынка. Было бы странно создавать малварь для несуществующих девайсов.
В теле дроппера в незашифрованном виде хранится второй компонент троянца — бэкдор, который при запуске дроппера сохраняется в папку /tmp/.ltmp/. Именно он выполняет основные вредоносные функции на зараженном устройстве.
Бэкдор написан на языке С. При запуске он расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента — список управляющих серверов и прокси-серверов, используемых в процессе соединения, а также иные данные, необходимые для работы программы. После этого троянец соединяется с управляющим сервером и ожидает поступления команд от злоумышленников.
«Доктор Веб» пишет, что в сумме малварь Linux.BackDoor.Xunpes.1 способна выполнять более 40 команд: директива включения функции сохранения нажатий пользователем клавиш (кейлоггинг), загрузки и запуска файла, путь и аргументы которого приходят с удаленного сервера (при этом сам бэкдор завершается), передачи злоумышленникам имен файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания снимков экрана (скриншотов), выполнения команд bash, а также многие другие.
Комментариев от представителей Pay MaQ пока нет. Об этом стартапе почти ничего не слышно с тех пор, как их краудфандинговая кампания на Indiegogo провалилась.
