Обнаружено новое семейство троянцев для Linux



Обнаружено новое семейство троянцев для Linux


Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность, говорится в сообщении антивирусной компании «Доктор Веб». В мае ее специалисты обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

Вредоносные программы семейства Linux.BackDoor.Gates сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак.

Один из представителей семейства вредоносных программ Linux.BackDoor.Gates, получивший название Linux.BackDoor.Gates.5, в ходе своей работы собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:

1. Количество ядер CPU (читает из /proc/cpuinfo).
2. Скорость CPU (читает из /proc/cpuinfo).
3. Использование CPU (читает из /proc/stat).
4. IP Gate'a (читает из /proc/net/route).
5. MAC-адрес Gate'a (читает из /proc/net/arp).
6. Информацию о сетевых интерфейсах (читает из /proc/net/dev).
7. MAC-адрес сетевого устройства.
8. Объем памяти (используется параметр MemTotal из /proc/meminfo).
9. Объем переданных и полученных данных (читает из /proc/net/dev).
10. Название и версию ОС (с помощью вызова команды uname).

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.

Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt


Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:

/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps


На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

Основной целью DDoS-атак, осуществляемых с помощью этого бэкдора, являются китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны.

Автор: Softodrom.ru
Дата:
Новые публикации: Новости НеWindows
22.06.2020 23:41

Apple представила iOS 14, iPadOS 14, macOS Big Sur и watchOS 7

На всемирной конференции для разработчиков WWDC 2020 компания Apple представила новые версии своих операционных систем для различных устройств

10.06.2020 18:28

Вышла вторая бета-версия операционной системы Haiku R1

Изначально проект развивался под именем OpenBeOS, но был переименован из-за претензий, связанных с использованием в названии торговой марки BeOS

03.06.2020 05:15

Выпущена операционная система Tails 4.7

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя

01.05.2020 14:25

Разработчики Ubuntu вышли на самообеспечение

Компания Canonical, занимающаяся разработкой и поддержкой популярного Linux-дистрибутива Ubuntu, вышла на самообеспечение

11.04.2020 23:08

Выпущена ReactOS 0.4.13

ReactOS — операционная система, нацеленная на обеспечение совместимости с программами и драйверами Windows

Популярные статьи: Новости НеWindows
18.12.2009 22:08

Итоги конкурса ''Лучший свободный проект России''

17 декабря были подведены итоги первого российского конкурса свободного ПО «Лучший свободный проект России»

28.03.2017 15:29

Почему он выбрал macOS и отказался от Windows

То, что на Windows зачастую требует установки дополнительного софта, в macOS решается парой кликов

21.09.2016 04:05

Apple выпустила macOS 10.12 Sierra

Компания Apple выпустила новую версию операционной системы для настольных устройств (старое название - Mac OS X) - macOS 10.12 Sierra

22.07.2010 16:23

Российская национальная операционная система появится в 2011 году

Более чем на 90% будет использован исходный код Linux, сообщает заместитель министра связи и массовых коммуникаций

24.06.2011 19:44

Выпущено обновление 10.6.8 для Mac OS X Snow Leopard

Apple выпустила обновление 10.6.8 для OS X Snow Leopard

Ujcnm
Ujcnm, 07.06.2014 13:50
Как устанавливается, так и сносится. Это не самоходное ПО.
HeadCrab
HeadCrab, 07.06.2014 12:01
Так и знал что будут комменты про то что ДрВеб вирус написал.
Pult82
Pult82, 06.06.2014 23:57
такая же мысль появилась)
SpaRk
SpaRk, 06.06.2014 20:49
Кароче Др. Веб начал писать вирусы под линь, чтоб покупали его продукты)
» Прочитать остальные / Написать свой комментарий

Новости /
Новости НеWindows /
Обнаружено новое семейство троянцев для Linux
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика