Ερευνητές ανακάλυψαν Νέο Linux Backdoor – Ερευνητές ασφαλείας από το Doctor Web, μια Ρώσικη Anti-malware εταιρεία, ανίχνευσαν ένα νέο backdoor με την ονομασία Linux.BackDoor.Dklkt.1 που στοχεύει στα λειτουργικά σύστηματα Linux. Εντούτοις, η υπογραφή του back door έχει προστεθεί στα virus databases του Dr. Web. Έτσι οι χρήστες των Linux users είναι υπό προστασία.

 

«Είναι ξεκάθαρο ότι οι δημιουργοί αυτού του κακόβουλου προγράμματος σχεδίασαν να το εξοπλίσουν με ένα μεγάλο εύρος ισχυρών χαρακτηριστικών, αλλά αντίθετα με όλες τις προθέσεις τους αποδείχθηκαν μάλλον προβληματικά, με αποτέλεσμα να μην λειτουργούν όλα τα συστατικά έτσι όπως θα έπρεπε,» οι αναλυτές ανέφεραν σε ένα blog post τους σχετικά με το ζήτημα.

Οι αναλυτές ισχυρίζονται πως το back door έχει μάλλον κινέζικη προέλευση. Δηλώνουν πως οι δημιουργοί του virus προσπάθησαν να φτιάξουν ένα multi-component malicious πρόγραμμα που περιλαμβάνει ένα μεγάλο αριθμό λειτουργιών.

«Για παράδειγμα, ήθελαν να το εξοπλίσουν με τυπικές λειτουργίες των file managers, DDoS Trojans, proxy servers, και ούτω κάθε εξής,” πρόσθεσαν.

«Παρόλο αυτά, δεν λειτούργησαν όλα όπως έπρεπε. Εντούτοις οι δημιουργοί του virus κατάφεραν να δημιουργήσουν ένα cross-platform program εκτός του αρχικού πλάνου τους, με αποτέλεσμα το εκτελέσιμο αρχείο να είναι σε θέση να επηρεάσει και Linux και Windows architectures.

Παρόλο αυτά, χάρις στην απροσεξία των cybercriminals, ο disassembled code περιλαμβάνει μερικές περίεργες constructions που δεν είχαν να κάνουν με τίποτα με τα Linux.”

Σύμφωνα με τους ερευνητές, το backdoor ελέγχει τον φάκελο από τον οποίο τρέχει για configuration file που περιλαμβάνει όλα τα operating settings. Το αρχείο έχει τρεις διευθύνσεις command and control servers. Μια από αυτές χρησιμοποιείται

από το back door, ενώ οι άλλες δύο αποθηκεύονται για backup περιπτώσεις.

Το configuration file κρυπτογραφείται με Base64.
Όταν το back door ενεργοποιηθεί, προσπαθεί να κάνει register τον εαυτό του στο σύστημα ως domain (system service). Εάν η προσπάθεια αποτύχει, το backdoor τερματίζει την δουλειά του.

Οι ερευνητές ασφαλείας δήλωσαν πως έπειτα το Linux.BackDoor.Dklkt.1 περιμένει για εισερχόμενες εντολές που περιλαμβάνουν εφαρμογή ενός DDoS attack, εκκίνηση του SOCKS proxy server, το να τρέξουν μια συγκεκριμένη εφαρμογή, rebooting τον υπολογιστή, ή απλά να τον απενεργοποιήσει.