- Сообщения
- 162
- Реакции
- 16
- Баллы
- 18
Именно такого троянца исследовали в октябре 2016 года специалисты компании «Доктор Веб».
Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.
При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файлLinux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует,Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.
После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.
Linux.BackDoor.FakeFile.1 может выполнять следующие команды:
передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
передать список содержимого заданной папки;
передать на управляющий сервер указанный файл или папку со всем содержимым;
Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.
При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файлLinux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует,Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.
После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.
Linux.BackDoor.FakeFile.1 может выполнять следующие команды:
передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
передать список содержимого заданной папки;
передать на управляющий сервер указанный файл или папку со всем содержимым;
- удалить каталог;
- удалить файл;
- переименовать указанную папку;
- удалить себя;
- запустить новую копию процесса;
- закрыть текущее соединение;
- организовать backconnect и запустить sh;
- завершить backconnect;
- открыть исполняемый файл процесса на запись;
- закрыть файл процесса;
- создать файл или папку;
- записать переданные значения в файл;
- получить имена, разрешения, размеры и даты создания файлов в указанной директории;
- установить права 777 на указанный файл;
- завершить выполнение бэкдора.
Последнее редактирование модератором: