Бэкдор для Linux от Sednit

В декабре вирусные аналитики компании «Доктор Веб» исследовали многокомпонентную вредоносную программу для операционной системы Linux, получившую наименование Linux.BackDoor.Fysbis.1 и предположительно созданную хакерской группой Sednit. В изученном специалистами «Доктор Веб» образце было обнаружено два модуля, один из которых предназначен для работы с файловой системой инфицированного компьютера, а второй позволяет злоумышленникам выполнять на нем различные команды.

Эта вредоносная программа может работать как с привилегиями суперпользователя (root), так и под учетной записью простого пользователя Linux — в этом случае меняются папка, в которую инсталлируется троянец, и имя его исполняемого файла.

При первом запуске Linux.BackDoor.Fysbis.1 проверяет наличие своей работающей копии в инфицированной системе, а также пытается выяснить, не зарегистрирована ли вредоносная программа в автозагрузке. Если нет, троянец создает собственную копию в одной из папок на диске компьютера и обеспечивает собственный автоматический запуск.

Адрес управляющего сервера хранится непосредственно в теле бэкдора. В процессе своей работы троянец использует базу данных SQLite3, в таблицах которой содержатся зашифрованные конфигурационные данные и прочая информация, необходимая для работы троянца.

Троянец Linux.BackDoor.Fysbis.1 может получать различные команды от принадлежащего злоумышленникам управляющего сервера и выполнять их на инфицированной машине.

Источник: drweb.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s