«Доктор Веб» нашел новый бэкдор для GNU/Linux | автор: admin | 21 октября 2016
Категория: Security
Вредонос получил название linux.BackDoor.FakeFile.1, и распространяется, судя по всем признакам, распространяетя в архиве с видом PDF-файла, документа Microsoft Office или Open Office.
При запуске троянец сохраняется в каталог .gconf/apps/gnome-common/gnome-common, расположенный в домашнеи каталоге пользователя. Затем в каталоге, из которого его запустили, он ищет скрытый файл с названием, соответствующим его имени, и перемещает его на место исполняемого файла.
linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.
После этого, вредонос проверяет имя дистрибутива GNU/linux, который установлен на зараженом компьютере: если оно отличается от openSUSE, linux.BackDoor.FakeFile.1 записывает в файлы/.profile или /.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один для обмена информацией с своим сервером, второй для отслеживания длительности коннекта. Если троянец не получает команд более 30 минут, соединение закрывается.
linux.BackDoor.FakeFile.1 поддерживает следующие команды:
- передача на сервер сообщений, отправленных в ходе текущего коннекта;
- передача списка содержимого указанного каталого;
- передача на сервер указанных файл или папок со всем содержимым;
- удаление папки и файла;
- переименовывание указанного каталого;
- удаление себя;
- запуск новай копии процесса;
- закрыть текущее подключение;
- организовать backconnect и запуск sh;
- завершить backconnect;
- открыть исполняемый файл процесса на запись;
-закрыть файл процесса;
- создание файла или папки;
- запись переданных значений в файл;
- получит имена, права, размеры и даты создания файлов в указанной директории;
- установить права 777 на указанный файл;
- завершить выполнение бэкдора.
linux.BackDoor.FakeFile.1 может работать без прав root, он может выполнять вредоносные функции с правами текущего пользователя, от имени которого был загружен. Троян ужев вирусных базах Dr.Web, поэтому не представляет опасности для пользователей.»
http://news.drweb.ru/show/?i=10265&lng=ru&c=14
Прочитано 90873 раз и оставлено 1 комментариев.
Вредонос получил название linux.BackDoor.FakeFile.1, и распространяется, судя по всем признакам, распространяетя в архиве с видом PDF-файла, документа Microsoft Office или Open Office.
При запуске троянец сохраняется в каталог .gconf/apps/gnome-common/gnome-common, расположенный в домашнеи каталоге пользователя. Затем в каталоге, из которого его запустили, он ищет скрытый файл с названием, соответствующим его имени, и перемещает его на место исполняемого файла.
linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit.
После этого, вредонос проверяет имя дистрибутива GNU/linux, который установлен на зараженом компьютере: если оно отличается от openSUSE, linux.BackDoor.FakeFile.1 записывает в файлы
linux.BackDoor.FakeFile.1 поддерживает следующие команды:
- передача на сервер сообщений, отправленных в ходе текущего коннекта;
- передача списка содержимого указанного каталого;
- передача на сервер указанных файл или папок со всем содержимым;
- удаление папки и файла;
- переименовывание указанного каталого;
- удаление себя;
- запуск новай копии процесса;
- закрыть текущее подключение;
- организовать backconnect и запуск sh;
- завершить backconnect;
- открыть исполняемый файл процесса на запись;
-закрыть файл процесса;
- создание файла или папки;
- запись переданных значений в файл;
- получит имена, права, размеры и даты создания файлов в указанной директории;
- установить права 777 на указанный файл;
- завершить выполнение бэкдора.
linux.BackDoor.FakeFile.1 может работать без прав root, он может выполнять вредоносные функции с правами текущего пользователя, от имени которого был загружен. Троян ужев вирусных базах Dr.Web, поэтому не представляет опасности для пользователей.»
http://news.drweb.ru/show/?i=10265&lng=ru&c=14
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 21 октября 2016-го года !
Прочитано 90873 раз и оставлено 1 комментариев.
#1.admin