Новая троянская программа под названием Linux.Hanthie может без особого труда скрывать от антивирусов свое присутствие в системе. Вдобавок она имеет довольно широкий вредоносный функционал.
На данное время подобное вредоносное программное обеспечение пользуется большой популярностью на подпольных хакерских форумах, где компьютерные преступники активно занимаются ее продажей. Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения, а также скрытую автозагрузку. Трояну не нужны привилегии администратора, он использует стойкое шифрование для коммуникации с панелью управления (256 бит), то есть запросы хакера в программе зашифрованы довольно сложным кодом. После запуска вредонос блокирует доступ к адресам, с которых производится установка обновлений или загрузка антивирусного ПО.
У данной версии трояна Linux.Hanthie нет механизмов самокопирования, поэтому создатели зловреда рекомендуют внедрять его с помощью методов социальной инженерии.
После запуска инсталлятор троянца проверяет наличие себя в системе. Linux.Hanthie производит установку в систему путем создания файла автозапуска и размещения собственной копии в одной из папок на диске. В разделе диска, где хранятся временные файлы, вредоносная программа создает исполняемую библиотеку, которую пытается интегрировать во все запущенные процессы. Если у троянца не получилось встроить собственную библиотеку в какой-либо процесс, Linux.Hanthie запускает из временной папки новый исполняемый файл, который отвечает непосредственно за взаимодействие с управляющим сервером, а исходную копию нейтрализует.
Вредонос содержит в себе несколько функциональных модулей: в одном из них, представленном в виде библиотеки, содержится основной функционал программы. С использованием данного модуля троянец интегрирует специальный граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. С помощью граббера Linux.Hanthie производит перехват http и https-сессий и отправляет хакерам конфиденциальную информацию из заполняемых пользователям экранных форм.
Кроме этого данная библиотека также реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером передается в зашифрованном виде.
Комментарии
Прикольно, что веберовцы "обнаружили" этот троян на 3 недели позже, чем "авастовцы". Ещё прикольнее, что вредонос надо умудриться специально установить. Ну дальше он, конечно, сам... :)
Распознаётся, т.к. после перезагрузки создаёт текстовый конфигфайл system-firewall.desktop в скрытой папке ~/.config/autostart
[Desktop Entry]
Encoding=UTF-8
Type=Application
Exec=%s
Terminal=false
Name=System Firewall
StartupNotify=false
Гыыы!
А журнализдам -- хлебушко. Уж как стараются расписать, что Линукс -- это говно. Автору на будущее: никаких "разделов диска, где хранятся временные файлы" в Линуксе нет.