[IP]: Nowy backdoor dla Linuxa

Analitycy bezpieczeństwa Doctor Web przebadali nowego backdoora Linux.BackDoor.Dklkt.1 wymierzonego w systemy operacyjne Linux. Twórcy tego złośliwego programu planowali wyposażyć go w szeroki zasób funkcji, ale ich wdrożenie okazało się problematyczne – na chwilę obecną nie wszystkie komponenty programu pracują tak, jak powinny.

Backdoor nazwany przez Doctor Web jako Linux.BackDoor.Dklkt.1 prawdopodobnie pochodzi z Chin. Twórcy wirusa próbowali stworzyć wielokomponentowy złośliwy program, zawierający dużą ilość funkcji, m.in. chcieli wyposażyć go w funkcje typowe dla menedżerów plików, trojanów DDoS, serwerów proxy, itd. Jednak nie wszystkie z tych planów się powiodły. Co więcej, twórcy wirusa spróbowali stworzyć program wieloplatformowy (cross-platform), aby plik wykonywalny mógł być wmontowany zarówno w architekturę systemu Linux jak i Windows. Tymczasem, przez nieostrożność cyberprzestępców, dezasemblowany kod zawiera kilka nietypowych konstrukcji, które nie działają w systemie Linux.

Po uruchomieniu program sprawdza folder, z którego został uruchomiony, pod kątem obecności pliku konfiguracyjnego zawierającego wszystkie ustawienia niezbędne do działania wirusa. Ten plik zawiera trzy adresy serwerów kontrolno-zarządzających, jeden z nich jest używany przez backdoora, podczas gdy dwa pozostałe są zapisane w charakterze serwerów zapasowych. Plik konfiguracyjny jest kodowany przy użyciu Base64. Gdy Linux.BackDoor.Dklkt.1 zostanie aktywowany, próbuje zarejestrować się w systemie jako demon (usługa systemowa). Jeśli ta próba nie powiedzie się, backdoor kończy swoją pracę.

Gdy złośliwy program pomyślnie się uruchomi, wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym systemie; co więcej, wysyłane dane są poddane kompresji LZO i zaszyfrowane algorytmem Blowfish. Dodatkowo każdy pakiet zawiera sumę kontrolną, więc odbiorca może zweryfikować integralność danych.

Następnie Linux.BackDoor.Dklkt.1 oczekuje na nadchodzące komendy, które mogą zawierać polecenie uruchomienia ataku DDoS, uruchomienia serwera SOCKS proxy, uruchomienia określonej aplikacji, ponownego uruchomienia komputera lub wyłączenia go. Inne komendy są ignorowane lub przetwarzane nieprawidłowo. Program może zestawiać następujące ataki DDoS:

- SYN Flood - HTTP Flood (żądania POST/GET) - ICMP Flood - TCP Flood - UDP Flood

Informacja prasowa

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

2 odpowiedzi na „[IP]: Nowy backdoor dla Linuxa”
  1. Awatar Zdfgdfgd
    Zdfgdfgd

    Grammar Nazi radzi:

    http://sjp.pwn.pl/poradnia/haslo/funkcjonalnosc;7526.html

    1. Awatar Emil Borzechowski
      Emil Borzechowski

      Dzięki, nie wyłapałem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *