В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян

13 апреля 2016 года

Компания Dr.Web сообщила о выявлении троянского ПО для Linux, встроенного в распространяемую в бинарном виде утилиту для совершения атаки путем наводнения адреса жертвы UDP-пакетами. Кроме заявленной функциональности, утилита также выполняет троянские действия и оставляет в системе пользователя бэкдор. Для UDP-флуда требуется запуск программы с правами root, поэтому вредоносное ПО сразу получает полный доступ к системе. Пользователям рекомендуется избегать загрузки программ из непроверенных источников и не запускать сторонние бинарные файлы в системе.

После запуска троянского ПО в систему загружается и устанавливается один из трёх бэкдоров ( 1, 2, 3), предоставляющих злоумышленникам возможность выполнять произвольные команды в системе пользователя. Бэкдор сохраняется в файлах /lib/.socket1 или /lib/.loves, очищает правила iptables и активируется через изменение файла /etc/rc.local и через создание задания в cron, после чего периодически соединяется с внешним управляющим сервером, получая от него команды. Например, поддерживаются команды участия в DDoS-атаке, запуска произвольного кода, сканирования портов, загрузки файлов и т.п.