Вы здесь

Эксперты «Доктора Веба» рассказали об обнаруженном трояне для Linux

Опубликовано: пн, 09/09/2013 - 04:48
вирус

Специалисты из «Dr. Web» уведомили онлайн-сообщество об выявлении ими нового вредоноса для Linux, которому присвоено наименование Linux.Hanthie.

Детальное исследование этого трояна показало, что он, помимо обширного вредоносного потенциала, наделен еще и способностью маскироваться от антивирусов.

Надо сказать, что на сегодня этот зловред является весьма популярным на нелегальных форумах хакеров, где его активно продают злоумышленники.

Linux.Hanthie относится к классу ботов семейств класса BackDoor и FormGrabber для Linux, и от прочих подобных вредоносов отличается наличием встроенных механизмов антиобнаружения и скрытой автозагрузки без привилегий администратора, а его гибкие настройки проводятся через конфигурационный файл.

Выявленная экспертами последняя конфигурация Linux.Hanthie не имеет функции самокопирования. Именно поэтому создатели трояна рекомендуют на профильных подпольных форумах распространять Hanthie с применением методик социальной инженерии, используя мощный VDS хостинг для отдачи.

Зловред может работать во всех основных дистрибутивах Linux (Ubuntu, Debian, Fedora) и поддерживает 8 разновидностей десктопных окружений (к примеру, KDE и GNOME).

После запуска инсталлятор зловреда проверяет свое присутствие в системе и определяет, работает ли на ПК виртуальная машина. После этого Linux.Hanthie приступает к «прописке» в системе путем конфигурирования файла автозапуска и помещения своей копии в одну из папок.

В хранилище временных файлов зловред создает собственную библиотеку, которую впоследствии пытается встраивать в каждый из запущенных процессов. Если встроить вредоносную библиотеку не удастся, то Hanthie удаляет исходную копию, а из папки со временными файлами запускает новый файл, ответственный исключительно за связь с сервером злоумышленников.

Зловред способен исполнить несколько команд, например, команда socks служит трояну сигналом для запуска на зараженном ПК прокси-сервера. Командой bind запускается скрипт сканирования и прослушки портов.

Команда bc необходима для связи с командным сервером, а по update начинается процесс загрузки обновлений для троянца. Команда rm запускает процесс самоудаления Linux.Hanthie.