На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Опубликовал: FIELD LINE, 21-10-2016, 18:03, Жизнь / Железо, 9 521, 0
Специалисты по борьбе с киберугрозами из компании «Доктор Веб» исследовали новую троянскую программу, написанную специально для Linux, и по итогам проделанной работы опубликовали подробный отчёт, призванный вооружить пользователей полезными знаниями о зловреде.

На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Речь о бекдоре под названием Linux.BackDoor.FakeFile.1, который, по ряду признаков, распространяется в архиве под видом PDF-файла, документа Microsoft Office или Open Office. При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. После этого в папке, из которой был запущен, зловред ищет скрытый файл со своим именем и перемещает его на место исполняемого файла.

Далее запускается алгоритм проверки имени дистрибутива Linux, который используется на устройстве жертвы, и, если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем троянец, предварительно расшифровав конфигурационные данные из собственного файла, запускает два потока: один служит для обмена данными с управляющим сервером, второй отслеживает длительность соединения.

На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office

Linux.BackDoor.FakeFile.1 может передавать на управляющий сервер список содержимого заданной папки, указанный файл или папку со всем содержимым; удалять файлы на заражённом компьютере и создавать новые; организовывать backconnect и запускать sh, а также устанавливать права 777 на указанный файл. Кроме того, троянец не требует привилегий root для своей работы, а следовательно, способен выполнять вредоносные функции с правами текущего пользователя, от имени которого был запущен.
  • Не нравится
  • 0
  • Нравится

Похожие публикации
У данной публикации еще нет комментариев. Хотите начать обсуждение?

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Российская вакцина от COVID-19 вам кажется безопасной?
Игровые сервера
c400's CS:Source Servers (CSS):
Развлекательный портал, since 2006
c400.ru - развлекательно юмористический портал
Год основания 2006, а может и раньше...