Большинство троянцев-бэкдоров воображает угрозу для ОС Windows, все-таки некие имеют все шансы ишачить на устройствах под управлением Linux. прямо подобного троянца изучили в октябре 2016 годы знатоки фирме «Доктор Веб».
Вредоносная программа приобрела прозвание Linux.BackDoor.FakeFile.1, так что распространяется она, судя по ряду признаков, в архиве под обликом PDF-файла, документа Microsoft Office либо Open Office.
При запуске троянец предохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. следом в папке, из коей был запущен, он отыскивает тайный файл с именем, соответственным своему имени, далее чего перемещает его на местность исполняемого файла. Например, в случае в случае в случае коли ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он станет находить тайный файл с именованием .AnyName.pdf, далее чего сбережет его заместо необычного файла командой mv .AnyName.pdf AnyName.pdf. в случае в случае в случае коли документ отсутствует, Linux.BackDoor.FakeFile.1 формирует его так что следом раскрывает в программе gedit.
После этого троянец испытывает имя дистрибутива Linux, кой применяется на атакуемом устройстве: в случае в случае в случае коли оно различается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile либо <HOME>/.bash_profile команду для личного самодействующего запуска. следом он извлекает из личного файла так что расшифровывает конфигурационные данные, далее чего запускает неуд потока: один-одинехонек обменивается информацией с управляющим сервером, другой наблюдает за продолжительностью соединения. в случае в случае в случае коли троянцу закончить поступало команд наиболее 30 минут, сплетение разрывается.
передать на управляющий сервер численность сообщений, отправленных в ходе текущего соединения;
передать перечень содержимого данной папки;
передать на управляющий сервер указанный файл либо папку со всем содержимым;
удалить каталог;
удалить файл;
переименовать указанную папку;
удалить себя;
запустить новенькую копию процесса;
закрыть текущее соединение;
организовать backconnect так что забыть sh;
завершить backconnect;
открыть исполняемый файл процесса на запись;
закрыть файл процесса;
создать файл либо папку;
записать переданные смысла в файл;
получить имена, разрешения, размер так что даты создания файлов в указанной директории;
установить права 777 на указанный файл;
завершить исполнение бэкдора.
Для собственной работы Linux.BackDoor.FakeFile.1 закончить требует привилегий root, он перемножать скорпулезно вредные опции с правами текущего пользователя, от имени учетной записи коего он был запущен. Сигнатура троянца добавлена в вирусные основы Dr.Web, соответственно он закончить воображает угрозе для наших пользователей.
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web