Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

24 августа : четверг

Интервью

Курсы

USD ЦБ РФ 23/08 59.0396 -0.1013
EUR ЦБ РФ 23/08 69.59 +0.1586
EUR/USD 23/08 1.1787 +0.0047

Linux.BackDoor.FakeFile.1 может выполнять вредоносные функции с правами текущего пользователя

20.10.2016 17:23

Специалисты компании "Доктор Веб" исследовали троянца-бэкдор Linux.BackDoor.FakeFile.1, который распространяется в архиве под видом PDF-файла, документа Microsoft Office или Open Office. При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.

После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.

Linux.BackDoor.FakeFile.1 может передавать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения, список содержимого заданной папки, указанный файл или папку со всем содержимым. Бэкдор может удалить каталог, файл и даже себя, переименовать указанную папку, запустить новую копию процесса или закрыть текущее соединение, закрыть файл процесса, создать файл или папку, получить имена, разрешения, размеры и даты создания файлов в указанной директории, установить права 777 на указанный файл и завершить выполнение бэкдора.

Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. Сигнатура троянца уже добавлена в вирусные базы Dr.Web.

Источник: @Astera

Смотри также: Безопасность

20 октября