20 novembre 2014

Gli specialisti Doctor Web hanno esaminato un trojan pericoloso capace di infettare computer e dispositivi gestiti dai SO della famiglia Linux. Questo programma malevolo, aggiunto al database dei virus sotto il nome del Linux.BackDoor.Fgt.1, è progettato per l'organizzazione di attacchi DDoS.

Una volta avviato sul dispositivo compromesso, il trojan Linux.BackDoor.Fgt.1 controlla la disponibilità della connessione Internet, inviano query a un server Google, e se la connessione è stata stabilita, individua l'indirizzo IP e l'indirizzo MAC del dispositivo. In seguito, il trojan Linux.BackDoor.Fgt.1 cerca di connettersi al server di gestione, di cui l'indirizzo è trascritto nel corpo del malware stesso, ed invia le informazioni sulla propria versione. Come risposta, il trojan aspetta un blocco di dati contenente un comando da eseguire sul dispositivo compromesso. Se il server di gestione manda il comando PING, il trojan risponde PONG e continua a funzionare sul dispositivo compromesso. Se il server manda comanda DUP, il trojan termina il suo funzionamento.

Il trojan ha una funzione particolare, attraverso cui scansiona in un ciclo 256 indirizzi IP remoti selezionati in modo arbitrario. Il ciclo inizia su comando dei malintenzionati. Nel corso di generazione degli indirizzi IP, il trojan Linux.BackDoor.Fgt.1 controlla se essi ci siano negli intervalli utilizzati per l'indirizzamento all'interno di reti locali per non prendere in considerazione tali indirizzi. Se non gli riesce a stabilire la connessione, il trojan Linux.BackDoor.Fgt.1 ne informa il server dei malintenzionati. Se la connessione è stata stabilita, il programma malevolo cerca di connettersi alla porta di un nodo remoto, utilizzata dal servizio Telnet, e aspetta una richiesta di login dalla macchina attaccata. Dopo aver inviato sul nodo remoto un login selezionato da una lista generata in anticipo, il trojan Linux.BackDoor.Fgt.1 analizza le risposte che arrivano dal nodo. Se tra di esse c'è una richiesta di immissione di password, il trojan cerca di autenticarsi tramite l'attacco a dizionario. Se riuscito ad autenticarsi, il trojan Linux.BackDoor.Fgt.1 manda sul server di gestione l'indirizzo IP, il login e la password corrispondenti e manda sul nodo attaccato un comando di download di uno script. A sua volta, lo script scarica da Internet ed esegue nel sistema violato il file eseguibile stesso del trojan Linux.BackDoor.Fgt.1. È degno di nota che sul server dei malintenzionati è disponibile un numero discreto di file eseguibili del trojan Linux.BackDoor.Fgt.1 compilati per varie versioni di Linux e distro, compresi sistemi embedded con l'architettura MIPS e server SPARC. Pertanto, il trojan può infettare non soltanto server e postazioni Linux con la connessione Internet, ma anche altri dispositivi, per esempio router.

Il trojan Linux.BackDoor.Fgt.1 è in grado di eseguire una serie di comandi impartiti dagli hacker, tra cui:

• richiesta dell'indirizzo IP del dispositivo compromesso;
• avvio o terminazione di un ciclo di scansione indirizzi;
• attacco a un nodo impostato del tipo DNS Amplification;
• attacco a un nodo impostato del tipo UDP Flood;
• attacco a un nodo impostato del tipo SYN Flood;
• terminazione di un attacco DDoS;
• terminazione del funzionamento del trojan.

Un record del trojan Linux.BackDoor.Fgt.1, che permette di rilevare e di rimuovere questa minaccia, è stato aggiunto ai database dei virus Dr.Web, quindi i prodotti antivirus della società Doctor Web per SO Linux proteggono in modo sicuro gli utenti di questo sistema operativo contro il rischio di infezione dei loro dispositivi.