Специалисты из «Dr. Web» уведомили онлайн-сообщество об выявлении ими нового вредоноса для Linux, которому присвоено наименование Linux.Hanthie.
Детальное исследование этого трояна показало, что он, помимо обширного вредоносного потенциала, наделен еще и способностью маскироваться от антивирусов.
Надо сказать, что на сегодня этот зловред является весьма популярным на нелегальных форумах хакеров, где его активно продают злоумышленники.
Linux.Hanthie относится к классу ботов семейств класса BackDoor и FormGrabber для Linux, и от прочих подобных вредоносов отличается наличием встроенных механизмов антиобнаружения и скрытой автозагрузки без привилегий администратора, а его гибкие настройки проводятся через конфигурационный файл.
Выявленная экспертами последняя конфигурация Linux.Hanthie не имеет функции самокопирования. Именно поэтому создатели трояна рекомендуют на профильных подпольных форумах распространять Hanthie с применением методик социальной инженерии, используя мощный VDS хостинг для отдачи.
Зловред может работать во всех основных дистрибутивах Linux (Ubuntu, Debian, Fedora) и поддерживает 8 разновидностей десктопных окружений (к примеру, KDE и GNOME).
После запуска инсталлятор зловреда проверяет свое присутствие в системе и определяет, работает ли на ПК виртуальная машина. После этого Linux.Hanthie приступает к «прописке» в системе путем конфигурирования файла автозапуска и помещения своей копии в одну из папок.
В хранилище временных файлов зловред создает собственную библиотеку, которую впоследствии пытается встраивать в каждый из запущенных процессов. Если встроить вредоносную библиотеку не удастся, то Hanthie удаляет исходную копию, а из папки со временными файлами запускает новый файл, ответственный исключительно за связь с сервером злоумышленников.
Зловред способен исполнить несколько команд, например, команда socks служит трояну сигналом для запуска на зараженном ПК прокси-сервера. Командой bind запускается скрипт сканирования и прослушки портов.
Команда bc необходима для связи с командным сервером, а по update начинается процесс загрузки обновлений для троянца. Команда rm запускает процесс самоудаления Linux.Hanthie.
