Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Linux.BackDoor.Xnote.1

Добавлен в вирусную базу Dr.Web: 2015-01-26

Описание добавлено:

Многофункциональный троянец-бэкдор, предназначенный для заражения Linux. Распространяется аналогично некоторым другим троянцам для данной операционной системы: путем взлома злоумышленниками учетных записей для доступа к атакуемой системе по протоколу SSH, с подбором необходимого пароля. Имеются основания полагать, что в разработке троянца участвовали представители китайской хакерской группы ChinaZ. Троянец статически слинкован со всеми необходимыми ему библиотеками, включая c-ares, zlib.

Троянец поддерживает несколько параметров запуска:

  • "-v" - установить режим вывода отладочных сообщений;
  • "–front" - при отсутствии данного флага стандартный ввод/вывод будет перенаправлен в /dev/null;
  • "–noinstall" - не устанавливать себя в систему;
  • "-h" - вывести список возможных параметров (выводится строка "some command : -v --front --noinstall -h");

После запуска Linux.BackDoor.Xnote.1 проверяет, не запущена ли другая копия бэкдора, путем попытки установить блокировку на файл "/tmp/.wq4sMLArXw" и, если таковая была запущена, завершает свою работу.

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в файл /bin/iptable6, и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.

Перед установкой соединения с управляющим сервером троянец читает образ своего исполняемого файла на диске в поисках строки "XXXXXXXXXXXXXXXX", которая является меткой, обозначающей начало конфигурационного блока. Если метка найдена, бэкдор расшифровывает следующие 0x15A байт с ключом 0x89 с использованием алгоритма XOR. Конфигурационный блок содержит пары «адрес и порт» 5 управляющих серверов и имеет вид:

#pragma pack(push, 1)
struct st_config
{
  _BYTE signature[16]; 'XXXXXXXXXXXXXXXX'
  char szCnC1[64];
  char szCnC2[64];
  char szCnC3[64];
  char szCnC4[64];
  char szCnC5[64];
  _WORD CnC1_port;
  _WORD CnC2_port;
  _WORD CnC3_port;
  _WORD CnC4_port;
  _WORD CnC5_port;
  _BYTE payload2[16];
};
#pragma pack(pop)

Затем троянец начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов троянец и управляющий сервер сжимают данные с использованием библиотеки zlib.

Первым пакетом бэкдор отправляет на сервер "LoginInfo" — структуру, содержащую различную информацию об инфицированной системе:

#pragma pack(push, 1)
struct st_logininfo
{
  _BYTE cmd; // '0x67'
  _DWORD dword1; // '0x9C'
  _DWORD dword5; // '0x00'
  _BYTE byte9[8];
  _DWORD dword11; // '0x02'
  _BYTE byte15[136];
  _DWORD CpuSpeed;
  _DWORD sockname;
  char hostname[50];
  _DWORD dword194;  // '0'
  _DWORD delay;
  _BYTE XNote[50];  //data from '/etc/.Xserver_note' file
  _BYTE CfgPayload[16]; //last 16 bytes of config
  char szOS[64];
};
#pragma pack(pop)

Список команд, которые может выполнять троянец:

  • установить UUID (Universally Unique Identifier) – уникальный идентификатор инфицированной машины;
  • выполнить задачу по работе с файлами;
  • обновить исполняемый файл бэкдора;
  • запустить командный интерпретатор с заданными параметрами;
  • начать атаку SYN Flood;
  • начать атаку UDP Flood;
  • начать атаку HTTP Flood;
  • начать атаку NTP Amplification;
  • прекратить DDoS-атаку;
  • записать данные в файл "/etc/.Xserver_note";
  • запустить сервер portmap;
  • запустить прокси-сервер;
  • удалить себя.

Если команда подразумевает выполнение какого-либо задания, для его реализации создается дочерний процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.

Так, получив команду на выполнение задачи по работе с файлами, троянец отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:

  • перечислить файлы и каталоги внутри указанного каталога;
  • отослать на сервер сведения о размере файла;
  • создать файл, в который можно будет сохранить принимаемые данные;
  • принять файл;
  • отправить файл на управляющий сервер;
  • удалить файл;
  • удалить каталог;
  • отправить управляющему серверу сигнал о готовности принять файл;
  • создать каталог;
  • переименовать файл;
  • запустить файл.

Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней:

"TERM=linux";
"SHELL=/bin/bash";
"PS1=\\[\\033[1;30m\\][\\[\\033[0;32m\\]\\u\\[\\033[1;32m\\]@\\[\\033[0;32m\\]\\h 
\\[\\033[1;37m\\]\\W\\[\\033[1;30m\\]]\\[\\033[0m\\]# ";
"HISTFILE=/dev/null";
"HOME=/tmp";
"PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:./bin:/tmp:/tmp/bin";

Помимо этого, троянец может запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap (возможные команды: «Отправить данные», «Удалить созданный portmap», «Создать portmap»).

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру