Специалисты из компании «Доктор Веб» говорят о том, что обнаружили новую программу из разряда вредоносных для Linux — Linux.Hanthie. Данный троянец, известный еще под названием Hand of Thief, он не просто вредит ПО, но способен скрываться от антивирусной программы, ничем не выдавая своего присутствия.
Подпольные хакерские форумы вовсю используют данную программу для продажи. Она позиционируется как бот класса BackDoor и FormGrabber и имеет механизм антиобнаружения и скрытую автозагрузку. Гибкая настройка этого бота проводится через файл конфигурации. Троянец после запуска блокирует пользователю доступ к адресам, с которых осуществляется загрузка антивирусника или устанавливаются обновления. В виртуальных и изолированных окружениях запуск и анализ не производятся из-за предусмотренных средств в троянце.
После того как троянец запущен, он сам проверяет свое наличие в системе благодаря инсталлятору. Затем проверяет, не запущена ли виртуальная машина на компьютере. Далее троянец устанавливается в систему через создание файла автозапуска, а также размещение в одну из папок на диске собственной копии. Папка для хранения временных файлов содержит библиотеку, исполняемую троянцем, которую сам пытается встроить во всевозможные процессы на ПО.
Linux.Hanthie может выполнять несколько команд. Так, по команде bind он запускает скрипт для прослушивания порта, по команде socks – запускает прокси-сервер, по bc подключается к удаленному серверу.
Комментарии: