По сообщению компании «Доктор Веб», ее специалисты исследовали опасного Linux-троянца, способного заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.

После запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.

С помощью специальной функции троянец в течение одного цикла выполняет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, – такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на управляющий сервер. Если же связь установлена, программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина.

Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1.

Как выяснилось, на принадлежащем вирусописателям сервере имеется множество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например маршрутизаторы.

Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, среди которых следующие: запрос IP-адреса инфицированного устройства; запуск или остановка цикла сканирования; атака на заданный узел типа DNS Amplification, UDP Flood или SYN Flood; прекращение DDoS-атаки; завершение работы.

Запись для троянской программы Linux.BackDoor.Fgt.1, позволяющая выявлять и удалять данную угрозу, добавлена в вирусные базы Dr.Web.