Исследователи компании «Доктор Веб» представили пользователям анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян под названием Linux.BackDoor.FakeFile.1 маскируется под PDF-файлы, документы MS Office или Open Office.
При запуске троян сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории. После этого в папке, из которой он запускается, он начинает искать скрытый файл с аналогичным своему именем и, после его обнаружения, перемещает его на место исполняемого файла. Если же документ отсутствует, троян создает его и открывает в gedit.
Далее FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для своего автозапуска. Далее вредонос извлекает из собственного файла и расшифровывает конфигурационные данные, а после запускает два потока. Назначение первого – обмен данными с C&C-сервером, второго – отслеживание продолжительности соединения (после 30 минут соединение разрывается).
Возможности функционала бэкдора включают передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организацию и завершение backconnect, запуск sh; создание файлов и папок и пр.
Эксперты отметили, что для работы вредоноса привилегии суперпользователя не требуются. Троян может выполнять все эти действия с правами текущего пользователя.
Источник http://www.securitylab.ru/