Вирусные аналитики компании «Доктор Веб» исследовали новый образец трояна-бэкдора, представляющего опасность для операционных систем семейства Linux. Как сообщили CNews в «Доктор Веб», по задумке авторов этой вредоносной программы она должна обладать чрезвычайно широким и мощным набором возможностей, однако на текущий момент далеко не все ее функции работают соответствующим образом.
Данный бэкдор, получивший наименование Linux.BackDoor.Dklkt.1, имеет предположительно китайское происхождение, полагают в компании. По всей видимости, разработчики изначально пытались заложить в него довольно обширный набор функций — менеджера файловой системы, трояна для проведения DDoS-атак, прокси-сервера и т.д., однако на практике далеко не все эти возможности реализованы в полной мере. Более того, исходные компоненты бэкдора были созданы с учетом кроссплатформенности, то есть таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Однако, поскольку разработчики отнеслись к этой задаче не слишком ответственно, в дизассемблированном коде трояна встречаются и вовсе нелепые конструкции, не имеющие к Linux никакого отношения, рассказали в «Доктор Веб».
При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.
После успешного запуска троян формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет также снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне.
После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых специалисты «Доктор Веб» отметили: директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно.
Троян способен выполнять следующие типы DDoS-атак: SYN Flood, HTTP Flood (POST/GET запросы), ICMP Flood, TCP Flood, UDP Flood.
Сигнатура этого бэкдора добавлена в вирусные базы Dr.Web, поэтому пользователи «Антивируса Dr.Web для Linux» защищены от действия данной вредоносной программы, указали в компании.