Linux.BackDoor.Gates.5 – еще один троянец для Linux

neformat / Окт.9.2015. / Нет комментариев

virus_1

Вредоносные приложения, входящее в семейство Linux.BackDoor.Gates, содержат в себе функционал типичного бэкдора и троянской утилиты для формирования масштабных DDoS- атак. Ориентирован новый вирус, занесенный в вирусные базы как Linux.BackDoor.Gates.5, на 32-разрядные версии дистрибутива Linux. Ряд важных признаков позволяют предположить, что вирус создали злоумышленники, ранее создавшие семейства опасных троянских программ Linux.DDoS и Linux.DnsAmp. Вредоносная программа состоит из двух отдельных модулей: бэкдор, предназначенный для выполнения команд с внешнего сервера, и модуль для формирования масштабных DDoS-атак.

В процессе заражения вирус отправляет на сервер следующие данные:

  • скорость и количество ядер CPU (процессора);
  • IP и MAC-адрес Gate’a;
  • использование CPU;
  • MAC-адрес текущего активного сетевого устройства;
  • данные о всех работающих сетевых интерфейсах;
  • информацию об операционной системе;
  • объем отправленных и переданных данных;
  • объем памяти.

В процессе инсталляции троянская программа проверяет содержимое файла /tmp/moni.lock. При наличии информации в файле, вирус считывает ID процесса, который необходимо закрыть.
Если файл конфигурации имеет флаг g_bDoBackdoor, утилита проверяет наличие у собственного процесса наличие прав root(максимальный доступ), осуществляя попытку запустить файл /root/.profile. На следующем этапе бэкдор создает собственную копию в каталоге /usr/bin/bsd-port/getty и активирует ее. На последнем этапе троянская программа создает еще одну копию своего файла по пути /usr/bin/, название нового файла берется из параметров конфигурации.
На этом процесс инсталляции троянской программы завершается и происходит вызов функции для выполнения основных задач троянца.
После установки связи с управляющим узлом, вредоносная программа скрытно загружает файл конфигурации с заданием, которое необходимо выполнить боту. По такой команде троянская программа может инициировать или прекратить DDoS-атаку, обновить свои модули, а также соединиться с другим сервером для получения других инструкций.



Оставить комментарий

Войти с помощью: 


<------------->