Linux.Sshdkit в вирусной библиотеке:

Вредоносная программа представляет собой динамическую библиотеку как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. На разных зараженных серверах были обнаружены следующие имена файлов:

• libkeyutils.so.1.9
• libkeyutils.so.1.3.0
• libkeyutils.so.1.3.2
• libkeyutils-1.2.so.2

Файлы располагались в папках /lib или /lib64 в зависимости от платформы.Основное предназначение троянца — кража вводимых пользователем паролей сервиса sshd. Для этого перехватываются следующие функции:

• pam_authenticate
• crypt

Данные в шифрованном виде отправляются по протоколу UDP на 53 порт удаленного сервера. Шифрованные данные икапсулированы в стандартный DNS-запрос на разименовывание доменного имени. Шифрование осуществляется с использованием операции XOR и 4 байтовым ключом, зашитым в теле троянца.

Первоначально в качестве удаленного сервера используется IP-адрес 78.47.***.110. Затем через каждые два дня определяется новый IP-адрес. Для этого используется алгоритм генерации доменных имен, состоящий из следующих шагов:

1. Через каждые два дня в зависимости от даты заражения выбирается два числа.
2. Каждое число преобразуются в строковую последовательность, имеющую один из суффиксов: '.biz', '.info', '.net'.
3. Обе строки должны разрешаться в один и тот же IP-адрес.
4. Определенный на шаге 3 IP-адрес преобразуется в итоговый IP-адрес, который будет использоваться для отправки данных.

Стоит заметить, что счетчик зараженных дней сбрасывается через каждые 10, 20, 30 и т.д. до 1024 дней с момента заражения. Таким образом, возможное количество пар доменов равно 1024.

Вредоносная программа также реализует дополнительные функции. Например, установка пароля по умолчанию для доступа к зараженному серверу. Также троянец способен выполнять следующие команды:

• Xver - вывод в консоль версии трояна
• Xcat - вывод в консоль собранных данных
• Xbnd - установление соединения при осуществлении функции connect()