Вредонос получил название Linux.BackDoor.FakeFile.1, и распространяется, судя по всем признакам, распространяетя в архиве с видом PDF-файла, документа Microsoft Office или Open Office.

При запуске троянец сохраняется в каталог .gconf/apps/gnome-common/gnome-common, расположенный в домашнеи каталоге пользователя. Затем в каталоге, из которого его запустили, он ищет скрытый файл с названием, соответствующим его имени, и перемещает его на место исполняемого файла.

Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.

После этого, вредонос проверяет имя дистрибутива GNU/Linux, который установлен на зараженом компьютере: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один для обмена информацией с своим сервером, второй для отслеживания длительности коннекта. Если троянец не получает команд более 30 минут, соединение закрывается.

Linux.BackDoor.FakeFile.1 поддерживает следующие команды:

- передача на сервер сообщений, отправленных в ходе текущего коннекта;
- передача списка содержимого указанного каталого;
- передача на сервер указанных файл или папок со всем содержимым;
- удаление папки и файла;
- переименовывание указанного каталого;
- удаление себя;
- запуск новай копии процесса;
- закрыть текущее подключение;
- организовать backconnect и запуск sh;
- завершить backconnect;
- открыть исполняемый файл процесса на запись;
-закрыть файл процесса;
- создание файла или папки;
- запись переданных значений в файл;
- получит имена, права, размеры и даты создания файлов в указанной директории;
- установить права 777 на указанный файл;
- завершить выполнение бэкдора.

Linux.BackDoor.FakeFile.1 может работать без прав root, он может выполнять вредоносные функции с правами текущего пользователя, от имени которого был загружен. Троян ужев вирусных базах Dr.Web, поэтому не представляет опасности для пользователей.»

http://news.drweb.ru/show/?i=10265&lng=ru&c=14