Doctor Web ostrzega przed nowym trojanem dla Linuxa

Przeczytaj także: Kaspersky Lab ostrzega przed trojanem Mokes atakującym Linuksa i Windows

Trojan ten, nazwany Linux.BackDoor.Sessox.1, rejestruje siebie w autostarcie zainfekowanego komputera. Następnie podłącza się do serwera kontrolno-zarządzającego, posiadającego działający moduł czatu, wspierający protokół IRC. Komendy cyberprzestępców są odbierane przez bota działającego w ramach tego czatu.

Trojan potrafi wykonywać następujące polecenia:

• zalogowanie się do czatu IRC z określoną nazwą użytkownika i hasłem
• przekazanie wiadomości o czasie pracy komputera (uptime) do kanału IRC
• zmianę przydomka (nickname) na inny, określony w poleceniu
• wysłanie do serwera wiadomości PONG (w odpowiedzi na komendę PING)
• wykonanie jednej z następujących funkcji specjalnych:
  • rozpoczęcie ataku na określoną stronę www z użyciem powtarzających się żądań GET (HTTP Flooder)
  • uruchomienie skanowania pod kątem podatności ShellShock (Skaner ShellShock)
  • uruchomienie skanowania skryptów PHP (Skaner PHP)
  • uruchomienie serwera proxy (SOCKS5 Proxy)

Wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców, Trojan może rozpocząć atak. Co więcej, po odebraniu komendy od cyberprzestępców Linux.BackDoor.Sessox.1 może skanować atakowany serwer pod kątem podatności ShellShock, która zezwala na wykonanie dowolnego kodu na serwerze. Używając specjalnie stworzonego żądania POST, Trojan może wykonać skanowanie skryptów PHP, aby uruchomić obcy skrypt na atakowanym serwerze. W taki sposób cyberprzestępcy mogą wbudować kopię Linux.BackDoor.Sessox.1 w atakowany system, zapewniając dalszą dystrybucję Trojana.

Sygnatura Linux.BackDoor.Sessox.1 została dodana do bazy wirusów Dr.Web, dzięki czemu ten złośliwy program nie stanowi już zagrożenia dla komputerów chronionych przez oprogramowanie Dr.Web.