Многофункциональный бэкдор для Linux
По сообщению компании «Доктор Веб», ее специалисты провели анализ многофункционального троянца, способного заражать устройства, работающие под управлением ОС Linux. Этот бэкдор имеет широкий спектр возможностей, среди которых функции загрузки на инфицированное устройство различных файлов, выполнение операций с файловыми объектами, создание снимков экрана, отслеживание нажатий клавиш и многое другое.
Вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.BackDoor.Xunpes.1, состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции.
Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin. В теле дроппера в незашифрованном виде хранится второй компонент троянца – бэкдор, который при запуске дроппера сохраняется в папку /tmp/.ltmp/ и выполняет основные вредоносные функции на зараженном устройстве.
Бэкдор, написанный на языке С, при запуске расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента – список управляющих серверов и прокси-серверов, используемых в процессе соединения, и другие данные, необходимые для работы программы. После этого троянец соединяется с управляющим сервером и ожидает поступления команд.
Всего Linux.BackDoor.Xunpes.1 способен выполнять более 40 команд, среди которых директивы включения функции сохранения нажатий пользователем клавиш (кейлоггинг), загрузки и запуска файла, путь и аргументы которого приходят с удаленного сервера (при этом сам бэкдор завершается), передачи злоумышленникам имен файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания снимков экрана (скриншотов), выполнения команд bash, а также многие другие.
Сигнатура троянца Linux.BackDoor.Xunpes.1 добавлена в вирусные базы Dr.Web.