20 de octubre de 2016

La mayor parte de troyanos backdoors son de amenaza para el SO Windows, pero algunos pueden funcionar en dispositivos bajo la administración de Linux. Uno de estos troyanos fue investigado en octubre de 2016 por los expertos de la empresa Doctor Web.

El programa nocivo fue llamado Linux.BackDoor.FakeFile.1 y se difunde, según algunas características, en un archivo, como documento PDF, de Microsoft Office u Open Office.

Al iniciarse, el troyano guarda a sí mismo en la carpeta .gconf/apps/gnome-common/gnome-common ubicada en el directorio principal del usuario. Luego en la carpeta desde la cual fue iniciado busca un archivo oculto con el nombre que corresponde al suyo, y posteriormente sustituye el archivo ejecutable por el mismo. Por ejemplo, si el archivo ELF Linux.BackDoor.FakeFile.1 se titulaba AnyName.pdf, buscará un archivo oculto titulado.AnyName.pdf, luego lo guarda en vez del archivo original usando el comando mv .AnyName.pdf AnyName.pdf. Si no hay este documento, Linux.BackDoor.FakeFile.1 lo crea y luego lo abre en el programa gedit.

Luego el troyano comprueba el nombre de la distribución Linux usada en el dispositivo atacado: si es distinto a openSUSE, Linux.BackDoor.FakeFile.1 guarda en los archivos <HOME>/.profile o <HOME>/.bash_profile un comando para su propio autoinicio automático. Luego extrae de su propio archivo y descifra los datos de configuración, y luego ejecute dos flujos: uno intercambia la información con el servidor de control, el otro supervisa el periodo de conexión. Si el troyano no recibe comandos durante más de 30 minutos, la conexión se rompe.

Linux.BackDoor.FakeFile.1 puede ejecutar los comandos siguientes:

• comunicar al servidor de control el número de mensajes enviados durante la conexión actual;
• transferir un listado del contenido de una carpeta establecida;
• transferir al servidor de control el archivo indicado o la carpeta con todo su contenido;
• borrar un catálogo;
• borrar un archivo;
• cambiar nombre de la carpeta indicada;
• borrar a sí mismo;
• iniciar la nueva copia del proceso;
• cerrar la conexión actual;
• organizar backconnect e iniciar sh;
• finalizar backconnect;
• abrir el archivo ejecutable del proceso para la escritura;
• crear un archivo del proceso;
• crear un archivo o una carpeta;
• guardar los valores transferidos en un archivo;
• recibir los nombres, los tamaños y las fechas de creación de archivos en el directorio indicado;
• establecer los permisos 777 para el archivo ibdicado;
• finalizar la ejecución del backdoor.

Para su funcionamiento Linux.BackDoor.FakeFile.1 no requiere privilegios root, puede realizar las funciones nocivas con privilegios del usuario actual en nombre de cuya cuenta fue iniciado. La firma del troyano fue añadida a las bases de virus Dr.Web, y por lo tanto, el mismo no es de amenaza para nuestros usuarios.

Más información sobre el troyano