Обнаружены новые трояны-бэкдоры для Linux

Безопасность Пользователю Интернет
мобильная версия
, Текст: Татьяна Короткова

В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько троянов-бэкдоров, предназначенных для операционных систем семейства Linux. Вредоносные программы, получившие названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3, способны выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, сообщили CNews в «Доктор Веб».

Первым звеном в цепочке заражения является ELF-файл, детектируемый «Антивирусом Dr.Web» под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root — без этого она отказывается работать. По словам аналитиков «Доктор Веб», подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции. Например, могут загружать из интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77.

Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт — Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска трояна в cron. Помимо этого, в процессе установки вредоносной программы очищается содержимое iptables.

После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троян отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троян расшифровывает их с помощью сгенерированного им ключа.

Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троян отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает, рассказали в «Доктор Веб».

Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, выполнять иные задачи. По мнению вирусных аналитиков «Доктор Веб», этот троян, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.

Трояны Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются оптимизированными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд. Все эти вредоносные программы детектируются «Антивирусом Dr.Web для Linux», указали в «Доктор Веб».