Um novo trojan “multi-purpose” voltado para servidores Linux, que permite que seja infiltrado um backdoor no computador de destino, pode fazer com que esta praga desencadeie ataques do tipo DDoS. Ele foi descoberto e analisado por pesquisadores da Dr. Web, que acreditam que o grupo de crackers chineses do “ChinaZ” pode estar por trás disso. O malware, apelidado Xnote, é entregue no computador de destino após os atacantes montarem um ataque de força bruta bem sucedido e estabelecerem uma conexão SSL com a máquina. O trojan primeiro verifica se uma cópia do mesmo malware já está em execução na máquina. Xnote tenta se esconder, fazendo uma cópia de si mesmo e apagando o arquivo original, e assegura a sua persistência adicionando um script que irá lançá-lo automaticamente cada vez que a máquina for reiniciada.
Vale observar que o backdoor contém uma lista de servidores de controle dentro de sua extensão, e tenta contatá-los um por um. Uma vez que uma ligação a um dos servidores esteja estabelecido, a informação é trocada entre eles em pacotes comprimidos. Em primeiro lugar, Linux.BackDoor.Xnote.1 envia informações sobre o sistema infectado para o servidor. Em seguida, ele entra em modo de espera e aguarda mais instruções. Se o comando consiste na realização de alguma tarefa, o backdoor cria um processo separado que estabelece a sua própria conexão com o servidor através do qual se obtém todos os dados de configuração necessários, e envia os resultados da tarefa executada. Essa foi a explicação dada pelos pesquisadores que analisaram o backdoor.
Com informações de Net Security e Under-Linux.
0sem comentários ainda