Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web ha studiato un backdoor per Linux

20 ottobre 2016

La maggior parte dei trojan-backdoor è studiata per infettare l'SO Windows, ma alcuni possono funzionare sui dispositivi con il sistema operativo Linux. Proprio tale trojan è stato studiato dagli specialisti Doctor Web ad ottobre 2016.

Il programma malevolo è stato denominato Linux.BackDoor.FakeFile.1, si diffonde, a giudicare da una serie di segni, in un archivio travestito da un file PDF, un documento Microsoft Office od Open Office.

Dopo essere avviato, il trojan si salva nella cartella .gconf/apps/gnome-common/gnome-common, situata nella directory home dell'utente. Quindi nella cartella da cui è stato avviato il trojan cerca un file con il nome corrispondente al suo nome, dopodiché lo trasferisce al posto del file eseguibile. Per esempio, se il file ELF di Linux.BackDoor.FakeFile.1 aveva il nome AnyName.pdf, il trojan cercherà il file nascosto con il nome .AnyName.pdf, dopodiché lo salverà invece del file originale, utilizzando il comando mv .AnyName.pdf AnyName.pdf. Se il documento è assente, Linux.BackDoor.FakeFile.1 lo crea e quindi lo apre nel programma gedit.

In seguito il trojan verifica il nome della distro Linux utilizzata sul dispositivo attaccato: se è diversa da openSUSE, Linux.BackDoor.FakeFile.1 scrive nei file <HOME>/.profile o <HOME>/.bash_profile un comando per il proprio avvio automatico. Quindi estrae dal proprio file e decifra i dati di configurazione, dopodiché lancia due flussi: uno si scambia informazioni con il server di gestione, l'altro monitora la durata della connessione. Se nessun comando perviene al trojan per oltre 30 minuti, la connessione viene interrotta.

Linux.BackDoor.FakeFile.1 può eseguire i seguenti comandi:

  • trasmettere sul server di gestione il numero di messaggi inviati nel corso della connessione corrente;
  • trasmettere la lista dei contenuti di una cartella indicata;
  • trasmettere sul server di gestione un file indicato o una cartella con tutto il contenuto;
  • eliminare una directory;
  • eliminare un file;
  • rinominare una cartella indicata;
  • eliminare sé stesso;
  • avviare una nuova copia di un processo;
  • chiudere la connessione corrente;
  • organizzare backconnect e lanciare sh;
  • completare backconnect;
  • aprire il file eseguibile di un processo per la scrittura;;
  • chiudere il file di un processo;
  • chiudere il file di un processo;
  • scrivere i valori trasmessi in un file;
  • ricavare i nomi, i permessi, le dimensioni e i dati di creazione dei file in una directory indicata;
  • impostare i permessi 777 per un file indicato;
  • completare l'esecuzione del backdoor.

Linux.BackDoor.FakeFile.1 non richiede i privilegi di root per il suo funzionamento e può eseguire le funzioni dannose con i permessi dell'utente corrente sotto cui account è stato avviato. Una firma antivirale è stata aggiunta ai database di virus Dr.Web perciò il trojan non rappresenta alcun pericolo per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A