23 de julio de 2015

Los analistas de virus de la empresa Doctor Web investigaron una nueva muestra del troyano backdoor, peligroso para los sistemas operativos de familia Linux. Según la idea de autores de este programa nocivo, el mismo debe disponer de un conjunto amplio y potente de posibilidades, pero actualmente no todas las funciones del mismo funcionan correctamente.

Este backdoor, llamado Linux.BackDoor.Dklkt.1, supuestamente fue creado en China. Por lo visto, los desarrolladores inicialmente intentaron implementar un conjunto amplio de funciones en el mismo — de manager del sistema de archivos, de troyano para realizar los ataques DDoS, de servidor proxy, etc., pero en la práctica no todas estas posibilidades se realizaron completamente. Además, los componentes iniciales del backdoor se crearon tomando en cuenta las plataformas cruzadas, es decir, para poder generar un archivo ejecutable tanto para la arquitectura Linux como para Windows. Pero, como los desarrolladores no prestaron mucha atención a esta tarea, en el código desensamblado del troyano hay construcciones muy raras que no tienen nada que ver con Linux.

Al iniciar, Linux.BackDoor.Dklkt.1 comprueba la existencia en la carpeta, desde la cual el mismo fue iniciado, de un archivo de configuración que contiene las opciones necesarias para el funcionamiento del mismo, En este archivo se establecen tres direcciones de servidores administrativos del backdoor, pero el mismo usa solo una, y las dos otras son de reserva. El archivo de configuración está cifrado usando el algoritmo Base64. Al iniciar, Linux.BackDoor.Dklkt.1 intenta registrarse en el equipo atacado como demonio (servicio de sistema), y, si no logra hacerlo, el backdoor finaliza su funcionamiento.

Una vez iniciado correctamente, el troyano crea y envía al servidor administrativo un paquete con información sobre el sistema infectado, así mismo todo el tráfico de intercambio de datos entre el backdoor y el centro de comandos remoto se comprime usando el algoritmo LZO y se cifra usando el algoritmo Blowfish. Así mismo, a cada paquete se le atribuye la suma de comprobación de los datos iniciales para determinar la integridad de la información recibida en la parte destino.

Luego Linux.BackDoor.Dklkt.1 cambia al modo de espera de comandos entrantes entre los cuales cabe destacar las directivas de inicio de un ataque DDoS, inicio del servidor SOCKS proxy, inicio de la aplicación indicada en el comando recibido, reinicio o desconexión del equipo. Todos los demás comandos Linux.BackDoor.Dklkt.1 los ignora o no procesa correctamente. El troyano es capaz de realizar los tipos siguientes de ataques DDoS:

• SYN Flood
• HTTP Flood (solicitudes POST/GET)
• ICMP Flood
• TCP Flood
• UDP Flood

La firma de este backdoor fue añadida a las bases de virus Dr.Web, por lo tanto, los usuarios del Antivirus Dr.Web para Linux están protegidos de este programa nocivo.