23 luglio 2015

Gli analisti dei virus Doctor Web hanno studiato un nuovo campione di trojan-backdoor che rappresenta una minaccia per i sistemi operativi della famiglia Linux. Secondo il piano dei creatori, questo programma malevolo dovrebbe avere un vasto e potente set di funzioni, però per il momento non tutte le possibilità possono essere utilizzate.

Questo backdoor, denominato il Linux.BackDoor.Dklkt.1, presumibilmente ha origini cinesi. A quanto pare, gli sviluppatori inizialmente hanno cercato di munire il programma di una gamma piuttosto vasta di funzioni — gestore di file system, trojan per l'esecuzione di attacchi DDoS, server proxy ecc., però in pratica, non tutte queste funzionalità sono implementate in pieno. Più di quello: i componenti originali del backdoor sono stati creati con le capacità multipiattaforma, cioè per fare sì che il file eseguibile possa essere assemblato sia per l'architettura Linux che per Windows. Tuttavia, siccome probabilmente gli sviluppatori non hanno preso quest'obiettivo sul serio, nel codice disassemblato del trojan sono ritrovabili delle strutture assurde che non hanno niente a che fare con Linux.

Una volta eseguito, il Linux.BackDoor.Dklkt.1 controlla la disponibilità, nella cartella da cui è stato avviato, del suo file di configurazione contenente tutti i parametri necessari per il suo funzionamento. In questo file sono impostati tre indirizzi dei server di gestione del backdoor, però ne utilizza solo uno e gli altri sono di riserva. Il file di configurazione è cifrato attraverso l'algoritmo Base64. All'avvio il Linux.BackDoor.Dklkt.1 cerca di registrarsi sul computer sotto attacco come un daemon (servizio di sistema) e se non può farlo, termina il proprio funzionamento.

Dopo un avvio riuscito, il trojan genera un pacchetto con le informazioni su sistema infettato e lo manda sul server di gestione; il traffico trasmesso tra il backdoor e il centro di comando remoto viene compresso tramite l'algoritmo LZO e cifrato attraverso l'algoritmo Blowfish. Ogni pacchetto viene dotato di un checksum dei dati originali in modo che il destinatario possa determinare l'integrità delle informazioni ricevute.

In seguito il Linux.BackDoor.Dklkt.1 attende comandi in arrivo tra cui vanno segnalate le istruzioni di iniziare attacchi DDoS, di avviare un server proxy SOCKS, di eseguire un'applicazione indicata nel comando arrivato, di riavviare o spegnere il computer. Il Linux.BackDoor.Dklkt.1 ignora o processa in un modo scorretto tutti gli altri comandi. Il trojan può eseguire i seguenti tipi di attacchi DDoS:

• SYN Flood
• HTTP Flood (le richieste POST/GET)
• ICMP Flood
• TCP Flood
• UDP Flood

La firma antivirale di questo backdoor è stata aggiunta ai database dei virus Dr.Web, perciò gli utenti dell'Antivirus Dr.Web per Linux sono protetti dalle azioni di questo programma malevolo.