На сегодняшний день эта вредоносная программа пользуется большой
популярностью на подпольных хакерских форумах, где злоумышленники
активно продают ее. Linux.Hanthie позиционируется как бот класса
FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения и
скрытую автозагрузку, не требующий привилегий администратора,
использующий стойкое шифрование для коммуникации с панелью управления
(256 бит). Гибкая настройка бота осуществляется через файл конфигурации.
После запуска троянец блокирует доступ к адресам, с которых
осуществляется установка обновлений или загрузка антивирусного ПО. В
троянце предусмотрены средства противодействия анализу и запуску в
изолированных и виртуальных окружениях.
Текущая версия Linux.Hanthie не обладает какими-либо механизмами
самокопирования, поэтому разработчики троянца в своих сообщениях на
хакерских форумах рекомендуют распространять его с использованием
методов социальной инженерии. Троянец может работать в различных
дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает
восемь типов десктоп-окружений, например, GNOME и KDE.
После запуска вредоносной программы инсталлятор троянца проверяет
собственное наличие в системе, а также определяет, не запущена ли на
компьютере виртуальная машина. Затем Linux.Hanthie устанавливается в
системе путем создания файла автозапуска и размещения собственной копии
в одной из папок на диске. В папке для хранения временных файлов
троянец создает исполняемую библиотеку, которую пытается встроить во все
запущенные процессы. Если вредоносной программе не удается встроить
собственную библиотеку в какой-либо процесс, Linux.Hanthie запускает из
временной папки новый исполняемый файл, отвечающий только за
взаимодействие с управляющим сервером, а исходную копию удаляет.
Троянец имеет в своем составе несколько функциональных модулей: в
одном из них, представленном в виде библиотеки, реализован основной
вредоносный функционал. С использованием данного модуля троянец
встраивает граббер в популярные браузеры Mozilla Firefox, Google Chrome,
Opera, а также действующие только под Linux браузеры Chromium и Ice
Weasel. Граббер позволяет перехватывать HTTP и HTTPS-сессии и отправлять
злоумышленникам данные из заполняемых пользователям экранных форм.
Также данная библиотека реализует функции бэкдора, при этом трафик при
обмене данными с управляющим сервером шифруется.
Троянец способен выполнить несколько команд, в частности, по команде
socks он запускает на инфицированной машине прокси-сервер, по команде
bind запускает скрипт для прослушивания порта, по команде bc
подключается к удаленному серверу, по команде update загружает и
устанавливает обновленную версию троянца, а по команде rm —
самоудаляется. При попытке обращения к запущенным скриптам bind или bc
троянец выводит в командной консоли следующее сообщение:
Еще один модуль позволяет троянцу реализовывать ограниченный функционал без выполнения инжектов.
Сигнатура данного троянца добавлена в вирусные базы, он успешно
определяется и удаляется из инфицированной системы антивирусным ПО
Dr.Web.
Источник:
http://news.drweb.com/?i=3868&c=9&lng=ru&p=0
|