Фахівці з компанії «Доктор Веб» говорять про те, що виявили нову програму з розряду шкідливих для Linux - Linux.Hanthie. Даний троянець, відомий ще під назвою Hand of Thief, він не просто шкодить ПО, але здатний ховатися від антивірусної програми, нічим не видаючи своєї присутності.
Підпільні хакерські форуми щосили використовують дану програму для продажу. Вона позиціонується як бот класу BackDoor і FormGrabber і має механізм антіобнаруженія і приховане автозавантаження. Гнучка настройка цього бота проводиться через файл конфігурації. Троянець після запуску блокує користувачеві доступ до адрес, з яких здійснюється завантаження антівірусника або встановлюються оновлення. У віртуальних та ізольованих оточеннях запуск і аналіз не виробляються через передбачених коштів у троянця.
Після того як троянець запущений, він сам перевіряє свою наявність у системі завдяки інсталятору. Потім перевіряє, чи не чи запущена віртуальна машина на комп'ютері. Далі троянець встановлюється в систему через створення файлу автозапуску, а також розміщення в одну з папок на диску власної копії. Папка для зберігання тимчасових файлів містить бібліотеку, виконувану троянцем, яку сам намагається вбудувати у всілякі процеси на ПЗ.
Linux.Hanthie може виконувати кілька команд. Так, за командою bind він запускає скрипт для прослуховування порту, за командою socks - запускає проксі-сервер, за bc підключається до віддаленого сервера.
Комментарии: