FakeFile to pełnoprawny backdoor dla systemów Linux, który nie potrzebuje żadnych uprzywilejowanych uprawnień, a więc może być uruchomiony bez podawania hasła administratora systemu zwanego root’em. Wystarczy jeden spreparowany dokument, by wasze komputery stały się częścią botnetu.
Analitycy złośliwego kodu z rosyjskiej firmy Doctor Web zidentyfikowali trojana Linux.BackDoor.FakeFile.1, który może kryć się w spreparowanych plikach MS Office, PDF i Open Office.
Po uruchomieniu, trojan zapisuje się w katalogu domowym profilu użytkownika:
.gconf/apps/gnome-common/gnome-common
Następnie wyszukuje ukryty plik, którego nazwa odpowiada nazwie pliku trojana i zastępuje ten plik wykonywalny plikiem zawierającym kod wirusa. Na przykład, jeśli plik ELF wirusa Linux.BackDoor.FakeFile.1 jest nazwany AnyName.pdf, to trojan będzie szukał ukrytego pliku pod nazwą .AnyName.pdf, a następnie zastąpi oryginalny plik swoim plikiem, używając polecenia mv .AnyName.pdf AnyName.pdf. Jeśli plik nie zostanie wykryty, Linux.BackDoor.FakeFile.1 utworzy go i otworzy w edytorze tekstu gedit.
Następnie trojan sprawdza nazwę zainstalowanej przez użytkownika dystrybucji. Jeśli nazwa jest różna od openSUSE, to Linux.BackDoor.FakeFile.1 zapisuje komendę w pliku <HOME>/.profile lub <HOME>/.bash_profile, która pozwoli mu na automatyczne uruchamianie się z systemem.
Kolejno pobiera dane konfiguracyjne z pliku i je odszyfrowuje, po czym uruchamia dwa procesy:
- pierwszy dzieli się informacjami z serwerem dowodzenia i kontroli C&C,
- drugi kontroluje czas trwania połączenia. Jeśli trojan jest podłączony dłużej niż przez 30 minut bez odebrania instrukcji, to połączenie jest zrywane.
Trojan w rzeczywistości instaluje w systemie backdoor’a, który umożliwia:
- Komunikowanie się z C&C
- Wysyłanie informacji o plikach ze specyficznych folderów
- Przekazywanie specyficznych plików oraz folderów z całą zawartością
- Usuwanie, zmienianie nazw plików i folderów,
- Uruchamianie swoich kopii,
- Zamykanie aktywnych sesji,
- Uruchamianie skryptów shell,
- Zapisywanie przekazywanych wartości do plików,
- Uzyskiwanie nazwy, uprawnień, rozmiarów i dat utworzenia plików w podanym katalogu,
- Zmianę chmod plików na 777.
Linux.BackDoor.FakeFile.1 nie wymaga uprawnień roota, dlatego może wykonywać swoje szkodliwe działanie na takich samych uprawnieniach, jak zalogowany użytkownik.
A więc stało się. Dystrybucje Linuksa mogą zostać zainfekowane w taki sam sposób, jak wszystkie inne Windowsy — wystarczy uruchomić złośliwy plik dostarczony np. za pośrednictwem poczty elektronicznej.
Nadchodzi era antywirusów dla systemów Linux?
