Nowy backdoor dla Linuxa
2015-07-30 15:19
Nowy backdoor dla Linuxa © benedetti68 - Fotolia.com
Analitycy bezpieczeństwa Doctor Web przebadali nowego backdoora Linux.BackDoor.Dklkt.1 wymierzonego w systemy operacyjne Linux. Twórcy tego złośliwego programu planowali wyposażyć go w szeroki zasób funkcji, ale ich wdrożenie okazało się problematyczne - na chwilę obecną nie wszystkie komponenty programu pracują tak, jak powinny.
Przeczytaj także: Doctor Web ostrzega przed nowym trojanem dla Linuxa
Backdoor nazwany przez Doctor Web jako Linux.BackDoor.Dklkt.1 prawdopodobnie pochodzi z Chin. Twórcy wirusa próbowali stworzyć wielokomponentowy złośliwy program, zawierający dużą ilość funkcjonalności, m.in. chcieli wyposażyć go w funkcje typowe dla menedżerów plików, trojanów DDoS, serwerów proxy, itd. Jednak nie wszystkie z tych planów się powiodły. Co więcej, twórcy wirusa spróbowali stworzyć program wieloplatformowy (cross-platform), aby plik wykonywalny mógł być wmontowany zarówno w architekturę systemu Linux jak i Windows. Tymczasem, przez nieostrożność cyberprzestępców, dezasemblowany kod zawiera kilka nietypowych konstrukcji, które nie działają w systemie Linux.Po uruchomieniu Linux.BackDoor.Dklkt.1 sprawdza folder, z którego został uruchomiony, pod kątem obecności pliku konfiguracyjnego zawierającego wszystkie ustawienia niezbędne do działania wirusa. Ten plik zawiera trzy adresy serwerów kontrolno-zarządzających, jeden z nich jest używany przez backdoora, podczas gdy dwa pozostałe są zapisane w charakterze serwerów zapasowych. Plik konfiguracyjny jest zaszyfrowany z użyciem algorytmu Base64. Gdy Linux.BackDoor.Dklkt.1 zostanie aktywowany, próbuje zarejestrować się w systemie jako domena (usługa systemowa). Jeśli ta próba nie powiedzie się, backdoor kończy swoją pracę.
Gdy złośliwy program pomyślnie się uruchomi, wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym systemie; co więcej, wysyłane dane są poddane kompresji LZO i zaszyfrowane algorytmem Blowfish. Dodatkowo każdy pakiet zawiera sumę kontrolną, więc odbiorca może zweryfikować integralność danych.
Następnie Linux.BackDoor.Dklkt.1 oczekuje na nadchodzące komendy, które mogą zawierać polecenie uruchomienia ataku DDoS, uruchomienia serwera SOCKS proxy, uruchomienia określonej aplikacji, ponownego uruchomienia komputera lub wyłączenia go. Inne komendy są ignorowane lub przetwarzane nieprawidłowo. Linux.BackDoor.Dklkt.1 może zestawiać następujące ataki DDoS:
- SYN Flood
- HTTP Flood (żądania POST/GET)
- ICMP Flood
- TCP Flood
- UDP Flood
Sygnatura Linux.BackDoor.Dklkt.1 została dodana do baz wirusów Dr.Web. Tym samym użytkownicy Antywirusa Dr.Web dla Linux są chronieni przed tym zagrożeniem.
Przeczytaj także:
![Zagrożenia w sieci: spokój mąci nie tylko phishing]( "Zagrożenia w sieci: spokój mąci nie tylko phishing [© pixabay.com]")
Zagrożenia w sieci: spokój mąci nie tylko phishing
Zagrożenia w sieci: spokój mąci nie tylko phishing
oprac. : eGospodarka.pl
Przeczytaj także
-
![CERT Orange Polska: 2020 rok pod znakiem phishingu]( "CERT Orange Polska: 2020 rok pod znakiem phishingu [© weerapat1003 - Fotolia.com]")
CERT Orange Polska: 2020 rok pod znakiem phishingu
-
![Linux odporny, ale nie na cyberataki APT. Jak się chronić?]( "Linux odporny, ale nie na cyberataki APT. Jak się chronić?")
Linux odporny, ale nie na cyberataki APT. Jak się chronić?
-
![CERT: polski internet coraz bardziej niebezpieczny]( "CERT: polski internet coraz bardziej niebezpieczny [© Nmedia - Fotolia.com]")
CERT: polski internet coraz bardziej niebezpieczny
-
![Nowy malware atakuje urządzenia z systemem Mac]( "Nowy malware atakuje urządzenia z systemem Mac [© Imillian - Fotolia.com]")
Nowy malware atakuje urządzenia z systemem Mac
-
![Nowy backdoor ukrywa się w pliku Microsoft Excel]( "Nowy backdoor ukrywa się w pliku Microsoft Excel [© Spectral-Design - Fotolia.com]")
Nowy backdoor ukrywa się w pliku Microsoft Excel
-
![Kaspersky Lab ostrzega przed trojanem Mokes atakującym Linuksa i Windows]( "Kaspersky Lab ostrzega przed trojanem Mokes atakującym Linuksa i Windows")
Kaspersky Lab ostrzega przed trojanem Mokes atakującym Linuksa i Windows
-
![Ransomware CryptoWall znów uderza]( "Ransomware CryptoWall znów uderza [© tonsnoei - Fotolia.com]")
Ransomware CryptoWall znów uderza
-
![Hakerzy mogą zrobić ci intymne zdjęcia i wrzucić na Facebooka]( "Hakerzy mogą zrobić ci intymne zdjęcia i wrzucić na Facebooka [© Tomasz Zajda - Fotolia.com]")
Hakerzy mogą zrobić ci intymne zdjęcia i wrzucić na Facebooka
-
![Sophos Antivirus for Linux – darmowy antywirus]( "Sophos Antivirus for Linux – darmowy antywirus [© psdesign1 - Fotolia.com]")
Sophos Antivirus for Linux – darmowy antywirus
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]](https://s3.egospodarka.pl/grafika2/majowka/Majowka-2024-moze-byc-tansza-259282-50x33crop.jpg "Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]")
Majówka 2024 może być tańsza
