Більшість троянців-бекдорів загрожує ОС Windows, проте деякі можуть працювати на пристроях під керуванням Linux. Саме такого троянця дослідили у жовтні 2016 року фахівці компанії «Доктор Веб».

Шкідлива програма отримала назву Linux.BackDoor.FakeFile.1, і поширюється вона, судячи з низки ознак, в архіві під виглядом PDF-файлу, документа Microsoft Office або Open Office.

Під час запуску троянець зберігає себе в папку .gconf/apps/gnome-common/gnome-common, розташовану в домашній директорії користувача. Потім у папці, з якої був запущений, він шукає прихований файл з ім'ям, яке відповідає своєму імені, після чого переміщає його на місце виконуваного файлу. Наприклад, якщо ELF-файл Linux.BackDoor.FakeFile.1 мав ім'я AnyName.pdf, він шукатиме прихований файл з ім'ям .AnyName.pdf, після чого збереже його замість оригінального файлу командою mv. AnyName.pdf AnyName.pdf. Якщо документ відсутній, Linux.BackDoor.FakeFile.1 створює його і потім відкриває у програмі gedit.

Після цього троянець перевіряє ім'я дистрибутива Linux, який використовується на пристрої, що атакується: якщо воно відрізняється від openSUSE, Linux. BackDoor.FakeFile.1 записує у файли /.profile або /.bash_profile команду для власного автоматичного запуску. Потім він витягує зі свого файлу і розшифровує конфігураційні дані, після чого запускає два потоки: один обмінюється інформацією з керуючим сервером, другий стежить за тривалістю з'єднання. Якщо троянцю не надходило команд більше 30 хвилин, з'єднання розривається.

Для своєї роботи Linux.BackDoor.FakeFile.1 не вимагає привілеїв root, він може виконувати шкідливі функції з правами поточного користувача, імені облікового запису якого він був запущений. Сигнатура троянця додана до вірусних баз Dr.Web, тому він не становить небезпеки для користувачів антивірусу «Доктор Веб»

Інші новини