События

Эксперты рассказали о функционале Linux-бэкдора FakeFile

Эксперты рассказали о функционале Linux-бэкдора FakeFile

Исследователи компании «Доктор Веб» опубликовали анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян, получивший название Linux.BackDoor.FakeFile.1 (по классификации «Доктор Веб»), маскируется под PDF-файлы, документы MS Office или Open Office.

При запуске вредонос сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой запускается, он ищет скрытый файл с аналогичным своему именем и перемещает его на место исполняемого файла. В случае отсутствия документа, троян создает его и открывает в gedit.

На следующем этапе FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для своего автозапуска. Далее вредоносная программа извлекает из собственного файла и расшифровывает конфигурационные данные, а затем запускает два потока. Первый предназначен для обмена данными с C&C-сервером, а второй отслеживает продолжительность соединения (после 30 минут соединение разрывается).

Функционал бэкдора включает следующие возможности: передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организация и завершение backconnect, запуск sh; создание файлов и папок и пр.

Как отмечают исследователи, для работы трояна не требуются привилегии суперпользователя. Вредонос может выполнять действия с правами текущего пользователя.

Автор: Сергей Куприянов
21.10.2016 (16:36)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.