close
priority_highПользовательское соглашение
search
menu

На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Специалисты по борьбе с киберугрозами из компании «Доктор Веб» исследовали новую троянскую программу, написанную специально для Linux, и по итогам проделанной работы опубликовали подробный отчёт, призванный вооружить пользователей полезными знаниями о зловреде.

На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Речь о бекдоре под названием Linux.BackDoor.FakeFile.1, который, по ряду признаков, распространяется в архиве под видом PDF-файла, документа Microsoft Office или Open Office. При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. После этого в папке, из которой был запущен, зловред ищет скрытый файл со своим именем и перемещает его на место исполняемого файла.

Далее запускается алгоритм проверки имени дистрибутива Linux, который используется на устройстве жертвы, и, если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем троянец, предварительно расшифровав конфигурационные данные из собственного файла, запускает два потока: один служит для обмена данными с управляющим сервером, второй отслеживает длительность соединения.

На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Linux.BackDoor.FakeFile.1 может передавать на управляющий сервер список содержимого заданной папки, указанный файл или папку со всем содержимым; удалять файлы на заражённом компьютере и создавать новые; организовывать backconnect и запускать sh, а также устанавливать права 777 на указанный файл. Кроме того, троянец не требует привилегий root для своей работы, а следовательно, способен выполнять вредоносные функции с правами текущего пользователя, от имени которого был запущен.
priority_high

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.