Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Linux.BackDoor.Dklkt.1

Добавлен в вирусную базу Dr.Web: 2015-07-10

Описание добавлено:

SHA1: bd24972a8e34bbd2e7f3b58d6d7fd1a94efa7355

Троянец-бэкдор для операционной системы Linux, по задумке авторов должен реализовывать довольно обширный набор функций: SOCKS proxy-сервера, remote shell, менеджера файловой системы, однако на текущий момент большая часть команд игнорируется. Внутреннее имя троянца — "DDoS Attacker for Gh0st(sweet version 1.0)".

Судя по отладочной информации, исходные компоненты бэкдора были созданы таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. При запуске бэкдор проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего следующие параметры:

'remote_host'
'remote_port'
'remote_host2'
'remote_port2'
'remote_host3'
'remote_port3'
'ServiceDllName'
'm_enable_http'
'HttpAddress'
'szGroup'
'blDelMe'
'SelfDelete'
'Config'
'PassWord'
'Remark'
'Version'

где 'Config' – путь к конфигурационному файлу (в Linux) или к ветви системного реестра, где хранятся конфигурационные данные (в Windows). В конфигурационном файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.

После запуска вредоносная программа формирует приветственный пакет с информацией о системе и параметрами бэкдора (все строки используют кодировку unicode) и передает его управляющему серверу:

<ComputerName>|<OSVersion>|<CpuCores> *
<CpuClock>MHz|Total:<MemTotal>MB,Avail:<MemFree>MB|<sysuptime_days>d
<sysuptime_hours>h <sysuptime_minutes>m <sysuptime_seconds>s|
<self_ip>|<external_ip>|<ConnectionTime>
ms|0|<Remark>|<Group>|<Password>|<Version>|0|0|1|\x00

Параметры Remark, Group, Password, Version заимствуются из конфигурационного файла, последние три значения постоянны, остальные являются данными о зараженной системе. Трафик сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет данных также снабжается контрольной суммой CRC32 для определения целостности полученной информации на принимающей стороне.

После отправки данного пакета троянец переходит в режим ожидания поступающих от удаленного управляющего сервера команд:

КомандаКомментарий
Приветственный пакетИгнорируется
ОбновитьсяИгнорируется
Изменить группуИзменяет значение параметра Group в конфигурационном файле на значение, пришедшее в команде
Изменить remarkИзменяет значение параметра Remark в конфигурационном файле на значение, пришедшее в команде
Открыть shellОткрывает командный интерпретатор и перенаправляет потоки ввода/вывода на управляющий сервер
Открыть менеджер файловой системыИгнорируется
Открыть менеджер DDoSИгнорируется
Принять пользовательские данныеИгнорируется
СамоудалитьсяИгнорируется
Разорвать связь с управляющим серверомИгнорируется
ВыходВыполняет команду system("exit")
ПерезагрузкаВыполняет команду system("reboot")
Выключение компьютераВыполняет команду system("poweroff")
Очистить лог событийИгнорируется
Начать DDoS-атаку
Запустить приложениеПриложение указывается в пришедшей команде
Запустить proxyЗапускает на зараженной машине SOCKS proxy

Троянец может выполнять следующие виды DDoS-атак:

  • SYN Flood
  • HTTP Flood (POST/GET запросы)
  • Drv Flood (не реализовано)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

Новость об угрозе

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру