Компанія "Доктор Веб" виявила нового представника троянців для операційних систем сімейства Linux. Linux.Ellipsis.1 відрізняється параноїдальною поведінкою на зараженому комп'ютері.

Вірус був розроблений зловмисниками для створення на атакованої машині проксі-сервера, однак цей зразок відрізняється від інших шкідливих програм для ОС Linux своєрідною поведінкою. На сьогоднішній день відомо, що кіберзлочинці використовують проксі-сервер в цілях забезпечення власної анонімності для доступу до пристроїв, зламаним за допомогою іншої шкідливої програми - Linux.Ellipsis.2. В цілому застосовувана кіберзлочинцями схема атаки виглядає так: за допомогою троянця Linux.Ellipsis.2 вони отримують несанкціонований доступ по протоколу SSH до якого-небудь мережевого пристрою або комп'ютера, а потім використовують цей доступ в різних протиправних цілях, зберігаючи анонімність допомогою Linux.Ellipsis.1.

Після запуску на інфікованому ПК Linux.Ellipsis.1 видаляє свій робочий каталог і очищає список правил iptables, а потім намагається завершити ряд працюючих додатків, в першу чергу програми для ведення і перегляду логів, а також аналізу трафіку. Після цього троянець видаляє існуючі директорії і файли системних журналів і створює на їх місці папки з відповідними іменами. Тим самим блокується можливість створення логів з такими іменами в майбутньому.

На наступному етапі троянець Linux.Ellipsis.1 модифікує конфігураційний файл/etc/coyote/coyote.conf" таким чином, щоб він містив рядок: alias passwd=catn. Потім він видаляє ряд системних утиліт з каталогів /bin/, /sbin/, /usr/bin/, додає атрибут "незмінний" (immutable) до деяких необхідним для його подальшої роботи файлів і блокує IP-адреси підмереж, зазначені у переданої троянцю команді або перераховані в його конфігураційному файлі. При цьому під "блокуванням" розуміється запобігання прийому або передачі пакетів інформації з/на певний IP-адресу по заданому порту або протоколу з допомогою створення відповідних правил iptables.

Як вже згадувалося, основне призначення Linux.Ellipsis.1 полягає в організації на інфікованому комп'ютері проксі-сервера. Для цієї мети троянець контролює з'єднання по заданому локальної адреси і порту, проксируя весь трансльований через цю адресу і порт трафік.

Троянець має великий список характерних рядків, виявляючи які в мережевому трафіку він блокує обмін даними з відповідним віддаленим сервером IP-адресою. Список заборонених слів також має варіативну частину, яка залежить від вмісту вхідного пакету. Крім того, у своїй роботі Linux.Ellipsis.1 використовує список підозрілих і ігнорованих слів.

"Параноидальность" поведінки Linux.Ellipsis.1 полягає ще і в тому, що крім блокування віддалених вузлів за адресами із закладеного в нього списку троянець перевіряє всі мережеві підключення комп'ютера і відсилає на керуючий сервер IP-адреса вузла, з яким встановлено з'єднання. Якщо сервер відповідає командою "kill", троянець припиняє роботу додатка, яке встановило з'єднання, а заодно блокує цей IP-адресу за допомогою iptables. У своєму домашньому каталозі Linux.Ellipsis.1 створює файл з ім'ям "ip.filtered", де замість "ip" підставляється рядкове подання заблокованого IP-адреси. Аналогічна перевірка проводиться для процесів, що мають в імені рядок "sshd". IP-адреси зі списків блокуються назавжди, в той час як всі інші - на 2 години: окремий процес троянця раз в півгодини перевіряє вміст власного домашнього каталога і шукає там файли, створені більше двох годин тому, ім'я яких починається з IP-адреси, після чого видаляє їх та відповідне правило в таблиці iptables.

Незабаром після виявлення описаної вище шкідливої програми фахівці компанії "Доктор Веб" виявили троянця Linux.Ellipsis.2, є, судячи по ряду характерних ознак, творінням того ж автора і призначеного для підбору паролів методом грубої сили (брутфорс). Аналогічно Linux.Ellipsis.1, цей троянець в процесі своєї роботи очищає список правил iptables і видаляє "заважають" йому додатки, створює папки, що запобігають можливість ведення операційною системою файлів журналів, і звертається за отриманням завдання до керуючого сервера, адреса якого він приймає в якості вхідного аргументу при запуску. Кількість потоків сканування і ssh-сервера Linux.Ellipsis.2 автоматично обчислює на основі даних про частоті процесора зараженої машини.

Одержуване з троянцем керуючого сервера завдання містить IP-адресу підмережі, яку шкідлива програма сканує на наявність пристроїв з відкритим SSH-підключенням на порту 22. При виявленні таких пристроїв троянець намагається отримати до них доступ, перебираючи пари логін-пароль по наявним у нього словником, а в разі успіху надсилає повідомлення про це на сервер зловмисників.