Методы обнаружения вирусов

20 октября 2016 года

Большинство троянцев-бэкдоров воображает угрозу для ОС Windows, впрочем кое-какие имеют все шансы функционировать на устройствах под управлением Linux. как раз подобного троянца изучили в октябре 2016 годы эксперты фирмы «Доктор Веб».

Вредоносная программа приобрела название Linux.BackDoor.FakeFile.1, так что распространяется она, судя по ряду признаков, в архиве под обликом PDF-файла, документа Microsoft Office либо Open Office.

При запуске троянец предохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. далее в папке, из коей был запущен, он отыскивает тайный файл с именем, соответственным своему имени, впоследствии чего перемещает его на пункт исполняемого файла. Например, коли ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он довольно шарить тайный файл с именованием .AnyName.pdf, впоследствии чего сбережет его заместо необычного файла командой mv .AnyName.pdf AnyName.pdf. коли документ отсутствует, Linux.BackDoor.FakeFile.1 образовывает его так что далее раскрывает в программе gedit.

После этого троянец испытывает имя дистрибутива Linux, какой применяется на атакуемом устройстве: коли оно различается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile либо <HOME>/.bash_profile команду для личного самодействующего запуска. далее он извлекает из личного файла так что расшифровывает конфигурационные данные, впоследствии чего запускает неудовлетворительно потока: раз обменивается информацией с управляющим сервером, 2-ой наблюдает за продолжительностью соединения. коли троянцу закончить поступало команд наиболее 30 минут, слияние разрывается.

Linux.BackDoor.FakeFile.1 множить исполнять последующие команды:

  • передать на управляющий сервер численность сообщений, отправленных в ходе текущего соединения;
  • передать перечень содержимого данной папки;
  • передать на управляющий сервер указанный файл либо папку со всем содержимым;
  • удалить каталог;
  • удалить файл;
  • переименовать указанную папку;
  • удалить себя;
  • запустить новенькую копию процесса;
  • закрыть текущее соединение;
  • организовать backconnect так что забыть sh;
  • завершить backconnect;
  • открыть исполняемый файл процесса на запись;
  • закрыть файл процесса;
  • создать файл либо папку;
  • записать переданные смысла в файл;
  • получить имена, разрешения, размер так что даты создания файлов в указанной директории;
  • установить права 777 на указанный файл;
  • завершить исполнение бэкдора.

Для собственной работы Linux.BackDoor.FakeFile.1 закончить требует привилегий root, он множить исполнять вредные опции с правами текущего пользователя, от имени учетной записи коего он был запущен. Сигнатура троянца добавлена в вирусные основы Dr.Web, потому он закончить воображает угрозе для наших пользователей.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web