20 ottobre 2016

La maggior parte dei trojan-backdoor è studiata per infettare l'SO Windows, ma alcuni possono funzionare sui dispositivi con il sistema operativo Linux. Proprio tale trojan è stato studiato dagli specialisti Doctor Web ad ottobre 2016.

Il programma malevolo è stato denominato Linux.BackDoor.FakeFile.1, si diffonde, a giudicare da una serie di segni, in un archivio travestito da un file PDF, un documento Microsoft Office od Open Office.

Dopo essere avviato, il trojan si salva nella cartella .gconf/apps/gnome-common/gnome-common, situata nella directory home dell'utente. Quindi nella cartella da cui è stato avviato il trojan cerca un file con il nome corrispondente al suo nome, dopodiché lo trasferisce al posto del file eseguibile. Per esempio, se il file ELF di Linux.BackDoor.FakeFile.1 aveva il nome AnyName.pdf, il trojan cercherà il file nascosto con il nome .AnyName.pdf, dopodiché lo salverà invece del file originale, utilizzando il comando mv .AnyName.pdf AnyName.pdf. Se il documento è assente, Linux.BackDoor.FakeFile.1 lo crea e quindi lo apre nel programma gedit.

In seguito il trojan verifica il nome della distro Linux utilizzata sul dispositivo attaccato: se è diversa da openSUSE, Linux.BackDoor.FakeFile.1 scrive nei file <HOME>/.profile o <HOME>/.bash_profile un comando per il proprio avvio automatico. Quindi estrae dal proprio file e decifra i dati di configurazione, dopodiché lancia due flussi: uno si scambia informazioni con il server di gestione, l'altro monitora la durata della connessione. Se nessun comando perviene al trojan per oltre 30 minuti, la connessione viene interrotta.

Linux.BackDoor.FakeFile.1 può eseguire i seguenti comandi:

• trasmettere sul server di gestione il numero di messaggi inviati nel corso della connessione corrente;
• trasmettere la lista dei contenuti di una cartella indicata;
• trasmettere sul server di gestione un file indicato o una cartella con tutto il contenuto;
• eliminare una directory;
• eliminare un file;
• rinominare una cartella indicata;
• eliminare sé stesso;
• avviare una nuova copia di un processo;
• chiudere la connessione corrente;
• organizzare backconnect e lanciare sh;
• completare backconnect;
• aprire il file eseguibile di un processo per la scrittura;;
• chiudere il file di un processo;
• chiudere il file di un processo;
• scrivere i valori trasmessi in un file;
• ricavare i nomi, i permessi, le dimensioni e i dati di creazione dei file in una directory indicata;
• impostare i permessi 777 per un file indicato;
• completare l'esecuzione del backdoor.

Linux.BackDoor.FakeFile.1 non richiede i privilegi di root per il suo funzionamento e può eseguire le funzioni dannose con i permessi dell'utente corrente sotto cui account è stato avviato. Una firma antivirale è stata aggiunta ai database di virus Dr.Web perciò il trojan non rappresenta alcun pericolo per i nostri utenti.

Informazioni sul trojan