Linux.BackDoor.Gates.5 – еще один троянец для Linux

Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность. В мае 2014 года специалисты антивирусной компании «Доктор Веб» обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

Вредоносные программы семейства Linux.BackDoor.Gates, об одном из представителей которого, Linux.BackDoor.Gates.5, мы хотели бы рассказать в этой статье, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак. В ходе своей работы Linux.BackDoor.Gates.5 собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:
Количество ядер CPU (читает из /proc/cpuinfo).
Скорость CPU (читает из /proc/cpuinfo).
Использование CPU (читает из /proc/stat).
IP Gate'a (читает из /proc/net/route).
MAC-адрес Gate'a (читает из /proc/net/arp).
Информацию о сетевых интерфейсах (читает из /proc/net/dev).
MAC-адрес сетевого устройства.
Объем памяти (используется параметр MemTotal из /proc/meminfo).
Объем переданных и полученных данных (читает из /proc/net/dev).
Название и версию ОС (с помощью вызова команды uname).

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.

Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n<path_to_backdoor> в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:
ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

Основной целью DDoS-атак, осуществляемых с помощью этого бэкдора, являются китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:



Данная вредоносная программа внесена в вирусные базы Dr.Web и потому не представляет опасности для пользователей наших антивирусных продуктов.

5 июня 2014 года
http://news.drweb.com/show/?i=5801&lng=ru&c=5

 

Ну наконец-то! Можно ссылку на вирус? Хочу заразить свой комп, посмотреть на живой вирус. Надеюсь он не спрашивает пароль от ROOT-а, для установки?
Заметил, что Linux-вирусы находят только продавцы антивирусов.

 

А почему нет? Да! Скомпилированный вирус для конкретного линукса при наличии всего необходимого окружения в системе (библиотеки, пути и т.д.) и соотвествующих прав запускающего вполне может заразиться вирусом =)
Там правда могут возникнуть сложности: нужен SUDO, в RPM-линуксах еще и SELinux есть, что тоже усложняет заражение.

Нужен идиот, который готов рутом это дело запустить. Вы же знаете эту практику распространения ПО в линуксах, причем давно устоявшаяся практика - это компилировать из исходников или ставить с официального репозитария.

 

Задаете вопрос, сами на него отвечаете, и приводите те же аргументы, что и у меня. Подтверждая, что нужно самому установить вирус.
Но самое сладкое не в этом, разработчики продают антивирусы, которые в большинстве своем не смогут защитить от уязвимостей, кроме того им для работы просто необходимы права root-а, то есть антивирусы открывают доступ их создателям и увеличивают потенциальную опасность уязвимостей из-за возможных ошибок.

 

http://vms.drweb.com/virus/?i=3842424

Ну вот этому, судя по путям, как минимум рут не нужен

Ну а при наличии ожидаемого окружения, да еще дырявого....
https://exploit.in/modules.php?name=news&file=view&news_id=6950

 

В первых строках читаем:

Code:

В процессе установки считывает линк:

Каков механизм установки? Пользователь устанавливает?


Про роутеры там обычно web уязвимости.

 

Флеш-плеер
http://www.securitylab.ru/vulnerability/452342.php
Или хром
http://www.securitylab.ru/vulnerability/452306.php

 

Это еще, на мой взгляд, одно подтверждение, что антивирус не поможет, по этим ссылкам, советуют обновиться для исправления уязвимостей.

 

Это не классические вирусы для десктопных пека, там их по-прежнему нет. Это больше боты для схемы "опубликовали заткнутую дыру\появился 0-day -> сделали сканер уязвимости -> массово просканили -> втюхали тем, кто не обновился и торчит голым задом в сеть".

Через которые можно выполнять свой код, поскольку часто роутеры имеют подобие консоли в веб-морде. На обычных роутерах разделения пользователей нет вообще, все работает от рута всегда...

 

Предлагаю не смешивать, теплое с мягким и не делать выводы из обобщенных выражений. Я исхожу из резюме

т.е. этот вирус уже "обсосали" и это уже не 0-day, по вашему лучше установить Dr.Web и не париться с обновлениями системы? Пусть он жрет ресурсы системы, плевать, что это может быть широко открытыми воротами в вашу систему и вам за это, еще придется заплатить.

Про роутеры с Dr.Web пока не слышал, они и так тормозят со всякими PPTP и L2TP, с антивирусом, наверняка впадут в анабиоз.

 

Так оно ведь все выполняется от юзера

 

Что "оно" и на чем выполняется?

 

Флеш, хром. на линуксе.

 

Да, согласен, Adobe Flash, Google Chrome выполняются на Linux.