Обнаружен бэкдор, нацеленный на Linux-устройства

«Доктор Веб» предупреждает о появлении новой вредоносной программы, способной заражать устройства под управлением операционных систем Linux

Троян, обладающий широчайшим набором возможностей, получил обозначение Linux.BackDoor.Xunpes.1, сообщает "3Dnews".

Проведённый специалистами анализ показал, что зловред состоит из дроппера и бэкдора, выполняющего на заражённом устройстве основные шпионские функции. Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin.

В теле дроппера в незашифрованном виде хранится второй компонент вредоносной программы - бэкдор, который сохраняется в папку /tmp/.ltmp/. Данный модуль написан на языке С. При запуске бэкдор расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента - список управляющих серверов и прокси-серверов, используемых в процессе соединения, а также иные данные, необходимые для работы программы. Затем троян соединяется с управляющим сервером и ожидает поступления команд от злоумышленников.

Зловред способен выполнять более 40 разных команд. Среди них - директивы включения функции сохранения нажатий клавиш (кейлоггинг), загрузки и запуска файла, путь и аргументы которого приходят с удалённого сервера (при этом сам бэкдор завершается), передачи злоумышленникам имён файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания снимков экрана (скриншотов), выполнения команд bash и пр.