Сентябрь 2nd, 2022 
raven000 Эксперты по войне с киберугрозами из компании «Врач Интернет» проверяли свежую троянскую платформу, написанную специально для Linux, и по результатам выполненной работы обнародовали доскональный отчёт, который призван вооружить клиентов необходимыми познаниями о зловреде.
Речь о бекдоре под наименованием Linux.BackDoor.FakeFile.1, который, по ряду свойств, идет в архиве маскируясь под PDF-файла, документа Майкрософт Офис либо Open Офис. При запуске троянец сохраняет себя в папку .gconf/эппс/gnome-common/gnome-common в бытовой директории клиента. После этого в папке, из которой запустили, зловред ищет сокрытый документ с собственным названием и перемещает его на место выполняемого документа.
Дальше пускается метод проверки имени дистрибутива Linux, который применяется на устройстве жертвы, и, если оно различается от openSUSE, Linux.BackDoor.FakeFile.1 вписывает в документы <Хоум&ДжиТи;/.profile либо <Хоум&ДжиТи;/.bash_profile команду для своего автоматического старта. Потом троянец, заранее дешифрировав конфигурационные данные из своего документа, пускает 2 потока: 1 служит для размена данными с правящим компьютером, 2-й выслеживает продолжительность объединения.
Linux.BackDoor.FakeFile.1 может транслировать на правящий компьютер перечень содержимого данной папки, отмеченный документ либо папку со всем охватываемым; устранять документы на заражённом ПК и формировать свежие; создавать backconnect и запускать sh, и ставить права 777 на отмеченный документ. Также, троянец не требует льгот root для собственной работы, но стало быть, способен делать вредные функции с правами нынешнего клиента, от имени которого запустили.
Опубликовано в рубрике 
