Эксперты «Доктор Веб» обнаружили новый троян для Linux

Исследователи из «Доктор Веб» сообщили о новом трояне-бэкдоре, предназначенном для заражения Linux-систем. Создатели вредоносного ПО, предположительно, жители Китая, изначально намеревались реализовать в нем множество функций (менеджера файловой системы, трояна для осуществления DDoS-атак, прокси-сервера и пр.), однако в настоящий момент не все из них работают соответствующим образом. Более того, исходные компоненты бэкдора были созданы с расчетом на то, что потом его также можно будет собрать для архитектуры Windows. Тем не менее, по словам экспертов, в дизассемблированном коде встречаются конструкции, не имеющие к Linux никакого отношения.

При запуске троян, получивший название Linux.BackDoor.Dklkt.1, ищет в папке, из которой он был запущен, зашифрованный с помощью Base64 конфигурационный файл, содержащий необходимые для работы бэкдора параметры (три адреса C&C-серверов, из которых используется только один, а два других являются резервными). Далее он пытается зарегистрироваться на компьютере жертвы в качестве демона.

Если трояну не удается зарегистрироваться, он прекращает работу. В случае успеха ПО отсылает на C&C-сервер пакет с информацией о зараженной системе. Примечательно что передаваемые данные сжимаются с помощью алгоритма LZO и шифруется алгоритмом Blowfish. В каждом пакете содержится контрольная сумма исходных данных для определения целостности полученной информации на стороне сервера. Далее троян переходит в режим ожидания, пока не поступят дальнейшие команды.

В настоящее время вредонос реагирует на команды начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска определенного приложения, перезагрузки или выключения компьютера. Другие команды обрабатываются трояном некорректно.