В декабре вирусные аналитики компании «Доктор Веб» исследовали многокомпонентную вредоносную программу для операционной системы Linux, получившую наименование Linux.BackDoor.Fysbis.1 и предположительно созданную хакерской группой Sednit. В изученном специалистами «Доктор Веб» образце было обнаружено два модуля, один из которых предназначен для работы с файловой системой инфицированного компьютера, а второй позволяет злоумышленникам выполнять на нем различные команды.
Эта вредоносная программа может работать как с привилегиями суперпользователя (root), так и под учетной записью простого пользователя Linux — в этом случае меняются папка, в которую инсталлируется троянец, и имя его исполняемого файла.
При первом запуске Linux.BackDoor.Fysbis.1 проверяет наличие своей работающей копии в инфицированной системе, а также пытается выяснить, не зарегистрирована ли вредоносная программа в автозагрузке. Если нет, троянец создает собственную копию в одной из папок на диске компьютера и обеспечивает собственный автоматический запуск.
Адрес управляющего сервера хранится непосредственно в теле бэкдора. В процессе своей работы троянец использует базу данных SQLite3, в таблицах которой содержатся зашифрованные конфигурационные данные и прочая информация, необходимая для работы троянца.
Троянец Linux.BackDoor.Fysbis.1 может получать различные команды от принадлежащего злоумышленникам управляющего сервера и выполнять их на инфицированной машине.
Источник: drweb.ru