22 gennaio 2016

Gli specialisti Doctor Web hanno analizzato un trojan multifunzione capace di infettare dispositivi funzionanti sotto gestione di SO Linux. Questo backdoor ha una gamma vastissima di funzioni, tra cui: download di file sul dispositivo, operazioni con oggetti di file, cattura di schermate, monitoraggio di sequenze di tasti premuti e altre ancora.

Questo programma malevolo, aggiunto al database dei virus Dr.Web sotto il nome di Linux.BackDoor.Xunpes.1, è costituito da un dropper e un backdoor che realizza le principali funzioni spione sul dispositivo infetto.

Il dropper è scritto tramite l'ambiente di sviluppo aperto Lazarus per il compilatore Free Pascal e quando si avvia, mostra la seguente finestra di dialogo in cui vengono menzionati dispositivi progettati per le operazioni con la criptovaluta Bitcoin:

Nel corpo del dropper è conservato in chiaro il secondo componente del trojan — un backdoor che dopo l'avvio del dropper si salva nella cartella /tmp/.ltmp/. Proprio questo componente svolge le principali funzioni malevole sul dispositivo infetto.

Il backdoor, scritto nel linguaggio C, decifra ad avvio il suo file di configurazione tramite una chiave incorporata nel suo corpo. Tra i parametri di configurazione di questo componente del malware c'è un elenco dei server di gestione e dei proxy utilizzati nel corso di connessione, nonché ci sono altri dati necessari per il funzionamento del programma malevolo. Il trojan si connette al server di controllo e attende l'ottenimento di comandi dei malintenzionati.

In totale Linux.BackDoor.Xunpes.1 può eseguire oltre 40 comandi, tra cui ci sono i seguenti: attivare la funzione di salvataggio di sequenze di tasti premuti dall'utente (keylogging), scaricare e lanciare un file di cui il percorso e gli argomenti sono stati specificati sul server remoto (il backdoor stesso termina in tale caso), trasmettere ai malintenzionati i nomi dei file presenti in una directory impostata, caricare file selezionati verso il server di controllo, creare, rimuovere, rinominare file e cartelle, catturare schermate (screenshot), eseguire i comandi bash e altri comandi ancora.

La firma di Linux.BackDoor.Xunpes.1 è stata aggiunta ai database dei virus, dunque gli utenti dell'Antivirus Dr.Web per Linux sono protetti da esso in modo sicuro.