Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.BackDoor.Xunpes.1

Добавлен в вирусную базу Dr.Web: 2016-01-20

Описание добавлено:

SHA1: e2432fa6c53dfb62aeba242cd28fc4d51a70dbe3 (backdoor)
de5cc2779b9519bc3bbbda084f0b4cb858d2f890 (dropper)

Троянская программа-бэкдор для ОС Linux. Троянец состоит из дроппера и полезной нагрузки, выполняющей на зараженном устройстве основные шпионские функции.

Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, содержащее форму для ввода логина и пароля:

#drweb

При вводе произвольных значений (кроме нескольких зашитых в теле троянца) на экране последовательно отобразятся надписи "Initializing", "Connecting", "Signing in", а затем появится сообщение "Incorrect user ID or password. Please try again". Если пользователь введет заранее предусмотренные злоумышленником логин и пароль из следующего списка:

  • j****/g***********
  • m*****/f*********
  • c****/j********

то в этом случае троянец отреагирует на это событие сообщением "An error occurred while attempting to login: invalid user token".

При запуске дроппера происходит сохранение второго компонента троянца — бэкдора — в папку /tmp/.ltmp/. Запустившись на исполнение, бэкдор расшифровывает конфигурационные строки, которые зашифрованы с использованием алгоритма RC4, ключ зашит в теле троянца. Конфигурация содержит следующие структуры:

#drweb

serversList: список управляющих серверов, к которым будет осуществляться попытка подключения;

proxyList: список прокси-серверов, через которые может быть осуществлено подключение;

Salt: строка, используемая при генерации пароля;

bitMask: число, в котором проверяются определенные биты и при установке их значения в «1» выполняется определенные действия при инициализации.

Значения битов:

bitЗначение
0x1создать собственную копию в месте, указанном значением поля pathToExe в конфигурации
0x2обработать параметр -m : -m file удаляет файл или папку file
0x4открыть свой исполняемый файл на чтение/запись
0x8установить автозапуск через $HOME/.config/autostart
0x10установить автозапуск через crontab
0x20открыть /tmp/$tmpLockFileName и заблокировать его на запись
0x40запустить поток с кейлогером
0x80выполнить команду fork/chdir
0x100добавить в список используемых прокси-серверов системные прокси
0x400при подключении к серверу сначала пытаться соединиться через прокси
0x800соединяться только через прокси

В папке с исполняемым файлом создается файл .default.conf, который хранит следующую структуру:

struct conf{
    int32 magic; //0DE03C44h
    char hostid[32];
    char group[32];
}

После расшифровки конфигурационного файла и завершения инициализации бэкдор соединяется с одним из управляющих серверов, отсылает на него ключ и приступает к выполнению команд. Все сообщения, кроме команды, имеющей id=5, поступают с управляющего сервера в зашифрованном виде.

список команд:

idДействия
5Получить ключ от сервера для расшифровки последующих сообщений. Единственное сообщение, которое приходит в открытом виде. Содержит в себе помимо ключа еще и буфер, отправленный бэкдором при подключении и зашифрованный с использованием присланного ключа.
7Закрыть все открытые файлы и обнулить ключи шифрования. Фактически, это команда прекращения сессии.
8Удалить себя из автозагрузки и выключиться.
9Установить в файле конфигурации поле HostId.
10Установить в файле конфигурации поле group.
11Сделать HTTP-запрос, сохранить полученный файл в папку /tmp/ и выполнить его.
12Запустить файл, путь и аргументы для которого приходят с сервера, при этом сам бэкдор завершается.
13Завершить сессию и выключиться.
14Сделать HTTP-запрос, сохранить полученный файл в папку /tmp/ . Будет выполнен файл или нет, устанавливает сервер.
17Выслать список файлов и папок в указанной директории (без открытия папок).
19Запустить поток, который будет искать в указанной папке файлы, удовлетворяющие переданной маске и отправлять их на сервер до получения команды остановки этого потока.
21Остановить поток-загрузчик файлов.
22Открыть файл, сохранить handle под номером index и отправить содержимое файла на сервер.
23Выполнить запись в файл, handle которого лежит под номером index.
25Скопировать файл.
26Выполнить системный вызов создания нового процесса и запустить новый процесс.
27Переименовать файл.
28Удалить файл.
29Создать папку.
30Удалить папку.
31В зависимости от значения первых 4 байтов либо создать новую папку, либо выслать список файлов в папке (рекурсивно).
33Создать zip-архив с указанной папкой.
35Запустить поток, выполняющий команды bash.
36Отправить команду в поток, выполняющий команды bash.
37Остановить поток, выполняющий команды bash.
39Выслать информацию о машине и файл .default.conf.
41Прочитать информацию из utmp.
45Убить процесс по его pid.
46Получить заголовок текущего окна.
47Закрыть указанное окно (послать ему событие типа ClientMessage : _NET_CLOSE_WINDOW).
48Отправить на сервер содержимое папки /usr/share/applications/ - файлы автозагрузки.
50Сделать HTTP-запрос, сохранить полученный файл в папку /tmp/ . Будет выполнен файл или нет, устанавливает сервер.
52-53Сгенерировать событие KeyPressed.
54Сгенерировать событие ButtonRelease.
56Сделать скриншот экрана и отослать на сервер.
59Если запущен кейлоггер, то отправить на сервер список файлов, которые он создал.
61Получить размер файла, созданного кейлогером.
62Удалить файл, созданный кейлогером.
63Отправить на сервер содержимое файла, созданного кейлогером.
67Получить из /proc информацию об открытых сокетах и послать на сервер.

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру