Пятница, 22.11.2024
Меню сайта
Вход на сайт
Поиск
Статистика
Рейтинг@Mail.ru
Реклама
Безопасность Железо Интернет Мобильный мир
Софт
Обнаружены новые трояны-бэкдоры для Linux
Первым звеном в цепочке заражения является ELF-файл, детектируемый "Антивирусом Dr.Web" под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это "троянизированная" версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root — без этого она отказывается работать. По словам аналитиков "Доктор Веб", подобные программы-"флудеры" нередко реализуют дополнительные скрытые функции. Например, могут загружать из интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт — Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска трояна в cron. Помимо этого, в процессе установки вредоносной программы очищается содержимое iptables.

После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троян отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троян расшифровывает их с помощью сгенерированного им ключа.

Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троян отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает, рассказали в "Доктор Веб".

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, выполнять иные задачи. По мнению вирусных аналитиков "Доктор Веб", этот троян, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

Трояны Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются оптимизированными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы детектируются "Антивирусом Dr.Web для Linux", указали в "Доктор Веб".


Источник материала: cnews.ru.ru
Безопасность 1279 14.04.2016
Материалы по теме: