Специалисты компании “Доктор Веб” сообщили об очередном трояне для операционной системы Linux. В функциональные возможности вредоноса, получившего наименование Linux.Rekoobe.1 (по классификации “Доктор Веб”), включают способность по команде злоумышленников скачивать и загружать на C&C-сервер различные файлы, а также взаимодействовать с командным интерпретатором Linux на инфицированном устройстве.
Первые версии вредоносного ПО были ориентированы на заражение работающих под управлением Linux-устройств с архитектурой SPARC, однако позже вирусописатели модифицировали троян, пытаясь добиться совместимости с платформой Intel.
Для получения команд троян с определенной периодичностью обращается к C&C-серверу. При определенных условиях связь осуществляется через прокси-сервер, данные для авторизации на котором вредоносная программа извлекает из зашифрованного конфигурационного файла. Вся отправляемая и принимаемая трояном информация разбивается на отдельные блоки, каждый из которых шифруется и снабжается собственной подписью.
Как отмечают специалисты “Доктор Веб”, разработчики реализовали в трояне довольно сложную систему проверки подлинности получаемых от сервера пакетов с зашифрованными данными. Тем не менее, вредоносная программа способна выполнять всего три команды злоумышленников – скачивать или загружать файлы на C&C-сервер, передавать команды интерпретатору Linux и транслировать полученный вывод на удаленный сервер. Таким образом атакующие получают возможность удаленно управлять инфицированной системой.
Напомним, ранее эксперты сообщали об обнаружении троянов-шифровальщиков семейства Linux.Encoder. Вредоносы шифруют определенные файлы в каталогах, обычно связанных с администрированием web-серверов, и требуют оплатить разблокировку с помощью Bitcoin.
C&C-сервер (command and control server) – центральный сервер, используемый для отправки команд ботнету или скомпрометированной компьютерной сети. Сервер взаимодействует с конечными узлами ботнета по разным протоколам. Наиболее часто в качестве протокола управления используется IRC. (Dr.Web/NovostIT)