Вирусные аналитики компании «Доктор Веб» исследовали новый образец троянца-бэкдора, представляющего опасность для операционных систем семейства Linux.По задумке авторов этой вредоносной программы она должна обладать чрезвычайно широким и мощным набором возможностей, однако на текущий момент далеко не все ее функции работают соответствующим образом.Данный бэкдор, получивший наименование Linux.BackDoor.Dklkt.1, имеет предположительно китайское происхождение. По всей видимости, разработчики изначально пытались заложить в него довольно обширный набор функций — менеджера файловой системы, троянца для проведения DDoS-атак, прокси-сервера и т. д., однако на практике далеко не все эти возможности реализованы в полной мере. Более того: исходные компоненты бэкдора были созданы с учетом кроссплатформенности, то есть таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Однако, поскольку разработчики отнеслись к этой задаче не слишком ответственно, в дизассемблированном коде троянца встречаются и вовсе нелепые конструкции, не имеющие к Linux никакого отношения.При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.После успешного запуска троянец формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет также снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне.После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых следует отметить директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно. Троянец способен выполнять следующие типы DDoS-атак:
SYN Flood
HTTP Flood (POST/GET запросы)
ICMP Flood
TCP Flood
UDP Flood
Сигнатура этого бэкдора добавлена в вирусные базы Dr.Web, поэтому пользователи Антивируса Dr.Web для Linux защищены от действия данной вредоносной программы.
Источник: expert.com.ua
|
