Новый троянец Linux.BackDoor.Xunpes.1 имеет широкий спектр возможностей, среди которых функции загрузки на инфицированное устройство различных файлов, выполнение операций с файловыми объектами, создание снимков экрана, отслеживание нажатий клавиш. Анализ бэкдора провела компания "Доктор Веб".
Троянец состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции. Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin.
В теле данного дроппера в незашифрованном виде хранится второй компонент троянца - бэкдор, который при запуске дроппера сохраняется в папку /tmp/.ltmp/. Именно он выполняет основные вредоносные функции на зараженном устройстве.
Бэкдор, написанный на языке С, при запуске расшифровывает конфигурационный файл с помощью зашитого в его тело ключа. Среди параметров конфигурации этого компонента вредоносной программы - список управляющих серверов и прокси-серверов, используемых в процессе соединения, а также иные данные, необходимые для работы программы. После этого троянец соединяется с управляющим сервером и ожидает поступления команд от злоумышленников.
Всего Linux.BackDoor.Xunpes.1 способен выполнять более 40 команд, среди которых директива включения функции сохранения нажатий пользователем клавиш (кейлоггинг), команда загрузки и запуска файла, путь и аргументы которого приходят с удаленного сервера (при этом сам бэкдор завершается), команды передачи злоумышленникам имен файлов в заданной директории, загрузки на управляющий сервер выбранных файлов, создания, удаления, переименования файлов и папок, создания скриншотов, выполнения команд bash.