5 febbraio 2015

Gli specialisti Doctor Web hanno studiato un trojan composito multifunzionale, capace di infettare il SO Linux. Questo programma malevolo può eseguire diversi comandi impartiti dai malfattori, inclusa la possibilità di organizzare attacchi DDoS, nonché dispone di una ampia gamma di altre funzionalità.

Il recente programma malevolo per Linux, denominato Linux.BackDoor.Xnote.1, arriva sui computer in modo simile ad alcuni altri trojan per questo SO: i malfattori selezionano la password necessaria, hackerano gli account ed accedono al sistema sotto attacco attraverso il protocollo SSH. Gli analisti dei virus Doctor Web hanno ragione di credere che alla creazione di questo backdoor abbiano partecipato gli hacker cinesi ChinaZ.

In primo luogo, il Linux.BackDoor.Xnote.1 controlla se nel sistema sia in esecuzione un’altra sua copia, e se tale copia è in esecuzione, il trojan si chiude. Il programma malevolo si installa nel sistema soltanto se è stato lanciato con i permessi di root: durante l’installazione il trojan crea una sua copia nella directory /bin/ come un file con il nome iptable6 ed elimina il file originale da cui è stato lanciato. Inoltre, il Linux.BackDoor.Xnote.1 cerca nella cartella /etc/init.d/ gli script che iniziano con la stringa "!#/bin/bash” e aggiunge dopo questa stringa un’altra stringa che assicura la sua esecuzione.

Il trojan utilizza il seguente algoritmo per comunicare con il server di gestione appartenente ai malintenzionati. Per ottenere le informazioni di configurazione, il trojan cerca nel suo corpo una stringa che indica l’inizio del blocco cifrato delle configurazioni, quindi lo decifra e comincia ad inviare query ai server in serie secondo una lista fino a quando non scoprirà un server operativo o non sarà esaurita la lista. Prima della trasmissione di pacchetti, il trojan e il server di gestione comprimono i pacchetti mediante la libreria zlib.

Come prima cosa, il Linux.BackDoor.Xnote.1 invia sul server dei malintenzionati le informazioni sul sistema infettato e quindi rimane in attesa di comandi dal server. Se un comando arrivato contiene un task da eseguire, il trojan crea per la sua esecuzione un processo separato che stabilisce la propria connessione con il server di controllo, riceve attraverso questa connessione tutti i dati di configurazione necessari ed invia i risultati dell’esecuzione del task.

In particolare, su comando dei malintenzionati, il Linux.BackDoor.Xnote.1 può assegnare alla macchina infetta un identificatore unico, iniziare un attacco DDoS ad un’host remoto di cui è stato specificato l’indirizzo (alcuni tipi di attacco possibili — SYN Flood, UDP Flood, HTTP Flood e NTP Amplification), fermare un attacco iniziato in precedenza, aggiornare l’eseguibile del backdoor, registrare informazioni in file o rimuovere sé stesso. Inoltre, il trojan può eseguire un blocco separato di operazioni con vari oggetti di file. Se ha ricevuto l’opportuno comando, il Linux.BackDoor.Xnote.1 invia ai malintenzionati le informazioni sul file system del computer infetto (numero totale di blocchi di dati nel file system, numero di blocchi liberi), dopodiché può eseguire i seguenti comandi:

• elencare file e directory all'interno di un percorso specificato;
• inviare sul server le informazioni sulla dimensione di un file;
• creare un file in cui sarà possibile salvare i dati in ingresso;
• accettare un file;
• inviare un file sul server di gestione;
• eliminare un file;
• eliminare una directory;
• mandare sul server di gestione un segnale che il trojan è pronto ad accettare un file;
• creare una directory;
• rinominare un file;
• eseguire un file.

Inoltre, il trojan può eseguire l’interprete dei comandi (shell) con le variabili di ambiente specificate in modo da fornirci l’accesso per il server di gestione, può avviare SOCKS proxy sul computer infetto o eseguire il proprio server portmap.

La firma antivirale di questo programma malevolo è stata aggiunta ai database dei virus Dr.Web, perciò gli utenti dell’Antivirus Dr.Web per Linux sono protetti dalle azioni nocive del malware.