Новый бэкдор для Linux обладает широким функционалом - 29 Ноября 2015

Новое вредоносное приложение для системы Linux, получившее кодовое обозначение Linux.BackDoor.Xnote.1, использует для распространения стандартную для вирусов данного класса схему. Утилита подбирает пароль для доступа к компьютеру по защищенному протоколу SSH. В «Доктор Веб» считают, что в разработке опасного приложения участвовали представители китайской хакерской группы ChinaZ.

После атаки зловред в первую очередь проверяет наличие собственной рабочей копии в системе. Если устройство уже инфицировано программа завершает свою деятельность. Инсталляция продолжается, если запуск был осуществлен с максимальными привилегиями.

Защитить себя в правовом поле вам поможет знание законов и умение ориентироваться в нормативно-правовой базе. Пользуйтесь http://consultant-prof.ru/kupit_konsultant_plyus чтобы быть в курсе последних изменений в законодательстве.

Для обмена с управляющим узлом используется сложный алгоритм. Для загрузки конфигурационных данных вирус ищет в коде специальную строку, которая указывает на начало блока конфигурации. После расшифровки инициируется последовательный опрос указанных управляющих серверов, пока не будет найден работающий. Перед отправкой данных троянская программа сжимает их при помощи библиотеки zlib.

После отправки на сервер информации о зараженном ПК Linux.BackDoor.Xnote.1 переводится в режим ожидания новых инструкций. Если поступившая команда подразумевает выполнение определенного задания, создается новый процесс, которому предоставляется отдельное соединение с сервером управления. Канал используется для получения необходимых данных конфигурации и отправки результата.

К примеру, у злоумышленников есть возможность запустить DDoS-атаку на определенный интернет-узел (поддерживаются типы атак: NTP Amplification, HTTP Flood, UDP Flood и SYN Flood), обновить исполняемый модуль вируса, удалить его, а также записать данные в файл.

Кроме того, троянское приложение способно активировать командную оболочку (компонент shell) с указанными переменными окружения, после чего предоставить полноценных доступ к ней внешнему серверу. Также реализована возможность запустить в зараженной системе собственный сервер portmap или SOCKS proxy.

Специалисты отметили, что сигнатура новой угрозы уже занесена в соответствующие базы, что позволяет современным антивирусным решениям оперативно блокировать ее.