Новый бэкдор для Linux использует не все заложенные в него возможности

Злоумышленники используют Linux.BackDoor.Dklkt.1 для сбора информации об инфицированных системах.

Специалисты компании «Доктор Веб» обнаружили новый бэкдор Linux.BackDoor.Dklkt.1, предположительно имеющий китайское происхождение. Изначально разработчики пытались заложить в программу довольно обширный набор функций — менеджера файловой системы, троянца для проведения DDoS-атак, прокси-сервера, однако на практике далеко не все эти возможности реализованы в полной мере.

Исходные компоненты бэкдора были созданы с учетом кроссплатформенности — чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Однако, по всей видимости, разработчики отнеслись к задаче не слишком ответственно, и в дизассемблированном коде троянца встречаются конструкции, не имеющие к Linux никакого отношения.

При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если попытка оканчивается неудачей, бэкдор прекращает свою работу.

После успешного запуска троянец формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне. После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых следует отметить директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно.

Оцените статью
( Пока оценок нет )
ASTERA