3 dicembre 2015

Aumentano ogni giorno che passa il numero e le possibilità dei programmi malevoli per i sistemi operativi della famiglia Linux. Così, il trojan Linux.Rekoobe.1, esaminato dagli analisti dei virus Doctor Web, su comando dei malintenzionati può scaricare dal server di controllo e caricare su di esso vari file, nonché può interagire con la shell di Linux sul dispositivo infetto.

È interessante notare che le prime versioni di Linux.Rekoobe.1 si concentravano sull'infezione dei dispositivi Linux con l'architettura SPARC, però più tardi gli autori dei virus hanno ovviamente deciso di modificare il trojan per renderlo compatibile con la piattaforma Intel. Gli specialisti Doctor Web sanno dei campioni di Linux.Rekoobe.1 per le versioni del SO Linux compatibili Intel sia a 32 bit che a 64 bit.

Per il suo funzionamento Linux.Rekoobe.1 utilizza un file di configurazione cifrato, dopo aver letto i contenuti di questo file, il trojan si connette con una certa periodicità al server di controllo per ottenere comandi. A determinate condizioni la comunicazione con il centro di comando passa attraverso un server proxy e per tale caso il programma malevolo estrae i relativi dati per l'autenticazione dal suo file di configurazione. Tutte le informazioni che il trojan spedisce e accetta vengono divise in blocchi separati ciascuno di cui viene cifrato e dotato di una propria firma.

Linux.Rekoobe.1 inoltre possiede un ingegnoso sistema di verifica dei "pacchi" con le informazioni cifrate, ottenuti dal server di controllo. Nonostante questo complesso meccanismo di lavoro, Linux.Rekoobe.1 è capace di eseguire solo tre comandi dei malintenzionati, cioè: può scaricare file dal server di gestione o caricare file su di esso, passare i comandi accettati alla shell di Linux e trasmettere l'output ottenuto sul server remoto, e grazie a questi comandi i criminali informatici hanno la possibilità di interagire su remoto con il dispositivo infetto.

Le firme di tutti i campioni attualmente conosciuti di Linux.Rekoobe.1 sono presenti nei database dei virus Dr.Web, perciò gli utenti dell'Antivirus Dr.Web per Linux sono protetti in modo sicuro dal rischio di penetrazione sui loro dispositivi di questo programma malevolo.