Эксперты рассказали о функционале Linux-бэкдора FakeFile

Исследователи компании «Доктор Веб» опубликовали анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян, получивший название Linux.BackDoor.FakeFile.1 (по классификации «Доктор Веб»), маскируется под PDF-файлы, документы MS Office или Open Office.

При запуске вредонос сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой запускается, он ищет скрытый файл с аналогичным своему именем и перемещает его на место исполняемого файла. В случае отсутствия документа, троян создает его и открывает в gedit.

На следующем этапе FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для своего автозапуска. Далее вредоносная программа извлекает из собственного файла и расшифровывает конфигурационные данные, а затем запускает два потока. Первый предназначен для обмена данными с C&C-сервером, а второй отслеживает продолжительность соединения (после 30 минут соединение разрывается).

Функционал бэкдора включает следующие возможности: передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организация и завершение backconnect, запуск sh; создание файлов и папок и пр.

Как отмечают исследователи, для работы трояна не требуются привилегии суперпользователя. Вредонос может выполнять действия с правами текущего пользователя.