24.10.2016 Новости, БезопасностьКак сообщила компания «Доктор Веб», ее специалисты исследовали троянца-бэкдора, способного работать на устройствах под управлением Linux. Эта программа получила наименование Linux.BackDoor.FakeFile.1, а распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office. При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit. После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве. Если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы /.profile или /.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 мин, соединение разрывается. Linux.BackDoor.FakeFile.1 может ...
читать далее.