Исследователи «Доктор Веб» пишут, что Linux.BackDoor.FakeFile.1 распространяется в виде архивов, замаскированных под PDF-файл, или документов Microsoft Office или Open Office.

При запуске троян сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, троян создает его и затем открывает в программе gedit.

После этого троян проверяет имя дистрибутива Linux, который используется на зараженной машине, если имя отличается от openSUSE, вредонос записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если малварь не получала команд более 30 минут, соединение разрывается.

При этом исследователи отмечают, что для работы Linux.BackDoor.FakeFile.1 не нужны root-привилегии: малварь может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого была запущена.

Linux.BackDoor.FakeFile.1 может выполнять следующие действия:

  • передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
  • передать список содержимого заданной папки;
  • передать на управляющий сервер указанный файл или папку со всем содержимым;
  • удалить каталог;
  • удалить файл;
  • переименовать указанную папку;
  • удалить себя;
  • запустить новую копию процесса;
  • закрыть текущее соединение;
  • организовать backconnect и запустить sh;
  • завершить backconnect;
  • открыть исполняемый файл процесса на запись;
  • закрыть файл процесса;
  • создать файл или папку;
  • записать переданные значения в файл;
  • получить имена, разрешения, размеры и даты создания файлов в указанной директории;
  • установить права 777 на указанный файл;
  • завершить выполнение бэкдора.

1 комментарий

  1. Int

    31.10.2016 at 17:08

    А если OpenSUSE, то куда?

Оставить мнение

Check Also

eBay умышленно ухудшает безопасность, предлагая использовать SMS-сообщения вместо токенов

Известный ИБ-журналист Брайан Кребс обратил внимание, что eBay пытается понизить безопасно…