Бэкдор для Linux с широким функционалом
Специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца, предназначенного для заражения ОС Linux. Это ПО способно выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, и реализует широкий спектр других возможностей.
Вредоносная программа, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для той же ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.
В первую очередь Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия троянца, и если таковая обнаруживается, завершает свою работу. Вредоносная программа устанавливается в системе только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.
Для обмена данными с управляющим сервером троянец использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троянец и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем троянец переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, от которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.
Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак – SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троянец может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:
- перечислить файлы и каталоги внутри указанного каталога;
- отослать на сервер сведения о размере файла;
- создать файл, в который можно будет сохранить принимаемые данные;
- принять файл;
- отправить файл на управляющий сервер;
- удалить файл;
- удалить каталог;
- отправить управляющему серверу сигнал о готовности принять файл;
- создать каталог;
- переименовать файл;
- запустить файл.
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или запустить собственную реализацию сервера portmap.
Сигнатура новой вредоносной программы добавлена в вирусную базу Dr.Web.