Nowy backdoor dla Linuxa
2015-07-30 15:19
Nowy backdoor dla Linuxa © benedetti68 - Fotolia.com
Przeczytaj także: Doctor Web ostrzega przed nowym trojanem dla Linuxa
Backdoor nazwany przez Doctor Web jako Linux.BackDoor.Dklkt.1 prawdopodobnie pochodzi z Chin. Twórcy wirusa próbowali stworzyć wielokomponentowy złośliwy program, zawierający dużą ilość funkcjonalności, m.in. chcieli wyposażyć go w funkcje typowe dla menedżerów plików, trojanów DDoS, serwerów proxy, itd. Jednak nie wszystkie z tych planów się powiodły. Co więcej, twórcy wirusa spróbowali stworzyć program wieloplatformowy (cross-platform), aby plik wykonywalny mógł być wmontowany zarówno w architekturę systemu Linux jak i Windows. Tymczasem, przez nieostrożność cyberprzestępców, dezasemblowany kod zawiera kilka nietypowych konstrukcji, które nie działają w systemie Linux.Po uruchomieniu Linux.BackDoor.Dklkt.1 sprawdza folder, z którego został uruchomiony, pod kątem obecności pliku konfiguracyjnego zawierającego wszystkie ustawienia niezbędne do działania wirusa. Ten plik zawiera trzy adresy serwerów kontrolno-zarządzających, jeden z nich jest używany przez backdoora, podczas gdy dwa pozostałe są zapisane w charakterze serwerów zapasowych. Plik konfiguracyjny jest zaszyfrowany z użyciem algorytmu Base64. Gdy Linux.BackDoor.Dklkt.1 zostanie aktywowany, próbuje zarejestrować się w systemie jako domena (usługa systemowa). Jeśli ta próba nie powiedzie się, backdoor kończy swoją pracę.
Gdy złośliwy program pomyślnie się uruchomi, wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym systemie; co więcej, wysyłane dane są poddane kompresji LZO i zaszyfrowane algorytmem Blowfish. Dodatkowo każdy pakiet zawiera sumę kontrolną, więc odbiorca może zweryfikować integralność danych.
Następnie Linux.BackDoor.Dklkt.1 oczekuje na nadchodzące komendy, które mogą zawierać polecenie uruchomienia ataku DDoS, uruchomienia serwera SOCKS proxy, uruchomienia określonej aplikacji, ponownego uruchomienia komputera lub wyłączenia go. Inne komendy są ignorowane lub przetwarzane nieprawidłowo. Linux.BackDoor.Dklkt.1 może zestawiać następujące ataki DDoS:
- SYN Flood
- HTTP Flood (żądania POST/GET)
- ICMP Flood
- TCP Flood
- UDP Flood
Sygnatura Linux.BackDoor.Dklkt.1 została dodana do baz wirusów Dr.Web. Tym samym użytkownicy Antywirusa Dr.Web dla Linux są chronieni przed tym zagrożeniem.
oprac. : eGospodarka.pl
Przeczytaj także
-
CERT Orange Polska: 2020 rok pod znakiem phishingu
-
Linux odporny, ale nie na cyberataki APT. Jak się chronić?
-
CERT: polski internet coraz bardziej niebezpieczny
-
Nowy malware atakuje urządzenia z systemem Mac
-
Nowy backdoor ukrywa się w pliku Microsoft Excel
-
Kaspersky Lab ostrzega przed trojanem Mokes atakującym Linuksa i Windows
-
Ransomware CryptoWall znów uderza
-
Hakerzy mogą zrobić ci intymne zdjęcia i wrzucić na Facebooka
-
Sophos Antivirus for Linux – darmowy antywirus
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)