Xnote trójai

CH azonosító

CH-12011

Angol cím

Linux.Xnote

Felfedezés dátuma

2015.02.18.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux/Unix

Összefoglaló

Az Xnote különlegessége abban rejlik, hogy nem Windows-os, hanem Linux alapú számítógépeket fertőz meg. Ugyanakkor a Windows-os társaitól meglehetősen sok mindent eltanult, így a funkcionalitását tekintve egy teljes értékű backdoornak, illetve adatlopó programnak tekinthető.

Az Xnote – hasonlóan, ahogy ezt a Windows-os károkozók többsége is teszi – először arról gondoskodik, hogy a rendszer újraindítása után is működőképes maradjon. Ehhez init.d állományokat manipulál. Amint ezzel végez, akkor csatlakozik az előre meghatározott távoli kiszolgálókhoz, amelyekről parancsokat fogad, illetve fájlokat tölt fel azokra. Mindezek mellett pedig képes kiszivárogtatni a legfontosabb rendszerparamétereket.

Leírás

1. Felmásolja a rendszerre a saját állományait a következők szerint:
/bin/iptable6
/tmp/.wq4sMLArXw

2. Manipulálja az alábbi fájlokat:
/etc/init.d
/etc/init.d/lightdm
/etc/init.d/acpid
/etc/init.d/x11-common
/etc/init.d/udev
/etc/init.d/kmod

A fentiek mindegyikéhez hozzáadja a következő bejegyzést:
“/bin/iptable6”

3. Eltávolítja azt a fájlt, amellyel eredetileg felkerült a rendszerre.

4. Csatlakozik előre meghatározott távoli szerverekhez.

5. Nyit egy hátsó kaput.

6. Szerepet vállal elosztott szolgáltatásmegtagadási támadásokban.

7. Rendszerinformációkat gyűjt össze, illetve szivárogtat ki.

8. További nemkívánatos fájlokat tölt le.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.