Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

* Недавно обновленные темы

Автор Тема: Вирусы для OS X и Linux  (Прочитано 1437 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X и Linux
« : 26 Март 2013, 18:13 »
Троян для OS X маскируется под плагин для браузеров

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Компания «Доктор Веб», которая в 2012 году первой обнаружила печально известный троян Flashback, подтвердила существование нового трояна для OS X.
Новый троян скачивает и устанавливает на компьютеры доверчивых пользователей Mac рекламный плагин. Троян получил название "Trojan.Yontoo.1".
По словам аналитиков «Доктор Веб», троян распространяется через веб-страницы с трейлерами к фильмам, где владельцев Mac призывают установить плагин к браузеру, медиа-плеер, программу улучшения качества видео или ускоритель скачивания.
В одном из примеров, веб-сайт спросил у пользователя, не хочет ли тот скачать программу "Free Twit Tube". При получении положительного ответа, в браузер пользователя (Safari, Chrome или Firefox) вместо программы устанавливается плагин Yontoo, который затем передает просматриваемые данные (данные браузера) на внешний сервер.
Далее сервер обрабатывает полученную информацию о том, какие странички загружены пользователем, и отсылает назад специальный файл, встраивающий в посещаемые пользователем странички сторонний рекламный код от партнерских программ. Клики по встроенной таким образом рекламе приносят прибыль кибер-преступникам.
Стоит отметить, что похожая схема распространения рекламных троянов уже довольно давно распространена на Windows. Похоже, теперь она добралась и до любителей Mac.

Оффлайн Винни Пух

  • Винни очень любит мёд! Почему? Кто поймёт? В самом деле, почему Мёд так нравится ему?
  • *
  • Сообщений: 13318
  • Пол: Мужской
  • Имя : С@Ш@

Re: Вирусы для OS X
« Ответ #1 : 26 Март 2013, 21:50 »
ALENA А чего тут удивляться . Хороший хакер любую систему взломает если с ней на ты общается . А пользователи Линукс усердно бьют в грудь и говорят , что их система самая надежная . Нет никакой системы надежнее той , что не подключена к инету . А умельцы найдутся и взломают любую систему .

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Re: Вирусы для OS X
« Ответ #2 : 26 Март 2013, 21:57 »
Winnie Pooh, ну линуксоиды  упорно твердят что Линукс  не подвержен заразе . Не знаю как макинтош , но мое мнение такое . Нет незаражаемых систем  . Есть менее популярные и поэтому  мало вирусов для них пишут . :jokingl:
Поблагодарили: Abay

Оффлайн Винни Пух

  • Винни очень любит мёд! Почему? Кто поймёт? В самом деле, почему Мёд так нравится ему?
  • *
  • Сообщений: 13318
  • Пол: Мужской
  • Имя : С@Ш@

Re: Вирусы для OS X
« Ответ #3 : 31 Март 2013, 22:43 »
Winnie Pooh, ну линуксоиды  упорно твердят что Линукс  не подвержен заразе . Не знаю как макинтош , но мое мнение такое . Нет незаражаемых систем  . Есть менее популярные и поэтому  мало вирусов для них пишут . :jokingl:

И я и я и я того же мнения !  ;) ;) ;)

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Re: Вирусы для OS X
« Ответ #4 : 14 Май 2013, 19:21 »
Ну вот  и до линя добрались  :))
Уязвимость CVE-2013-1862 в Apache mod_rewrite
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В модуле mod_rewrite популярного HTTP-сервера Apache серии 2.2.x обнаружена интересная уязвимость (CVE-2013-1862), позволяющая удаленному злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера
Уязвимость обусловлена тем фактом, что mod_rewrite при записи в лог-файл не экранирует специальные символы, что позволяет удаленному злоумышленнику, при помощи специально оформленных запросов к веб-серверу, записать туда, например, управляющие последовательности для терминала. При правильном манипулировании такими последовательностями, можно добиться запуска произвольных команд с правами пользователя, осуществлявшего просмотр лога (как правило, подобные лог-файлы доступны для чтения только пользователю root).
Доступен
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
, исправляющий данную уязвимость. К настоящему моменту проблема исправлена в RHEL и CentOS. Разработчики Debian в курсе наличия уязвимости, однако не считают возможность удаленного запуска команд с правами root серьезной угрозой безопасности («Such injection issues are not treated as security issues»). Разработчики Gentoo также осведомлены о наличии уязвимости, однако пока не предпринимали каких-либо шагов для ее исправления.

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Re: Вирусы для OS X
« Ответ #5 : 08 Август 2013, 21:52 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
В Сети зафиксированы попытки распространения нового троянского ПО "Tand of Thief", предназначенного для банковского мошенничества. Примечательной особенностью нового вредоносного ПО является то, что оно нацелено на поражение пользователей Linux
Троянская часть Tand of Thief, напоминает распространяемые для Windows троянские пакеты на основе наборов Citadel и Blackhole, и включает в себя систему перехвата параметров входа в банковские online-сервисы и реализацию бэкдора для приёма управляющих команд и отправки накопленных данных злоумышленникам (в состав также входит прокси SOCKS5 и backconnect shell). Примечательной особенностью Tand of Thief является поддержка расширенных методов атаки, например, тронское ПО может вставлять контролируемое злоумышленником содержимое в открываемые пользователем легитимные web-страницы банковских систем.
В силу разнородности Linux-систем и затруднения распространения ПО через эксплуатацию уязвимостей (для каждой сборки дистрибутива необходимо использовать отдельный вариант эксплоита), для интеграции Tand of Thief на машины пользователей разработчиками трояна предлагается использовать методы социальной инженерии. Для управления работой трояна подготовлен специальный web-интерфейс, позволяющий злоумышленнику контролировать поражённые машины.
Разработчики пытаются продавать систему в хакерских форумах по цене 2000$. По заявлению продавцов, троян уже опробован в работе в 15 дистрибутивах Linux, включая Ubuntu, Fedora и Debian, и поддерживает 8 типов десктоп-окружений, в том числе GNOME и KDE. Перехват HTTP- и HTTPS-сессий реализован для Linux-сборок Firefox, Google Chrome, Chromium, Aurora и Ice Weasel. После активации троян блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. Для защиты от анализа в трояне предусмотрены средства противодействия отладке и запуску в изолированных и виртуальных окружениях.
Поблагодарили: Abay

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Re: Вирусы для OS X
« Ответ #6 : 28 Август 2013, 11:14 »
Linux.Hanthie. обладает широким вредоносным функционалом
Специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации —
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
об обнаружении новой вредоносной программы для Linux — Linux.Hanthie. По итогам проведенного исследования удалось выяснить, что этот троянец (также известен как Hand of Thief) обладает не только широким вредоносным функционалом, но и способен скрывать от антивирусов свое присутствие в системе.
На сегодняшний день эта вредоносная программа пользуется большой популярностью на подпольных хакерских форумах, где злоумышленники активно продают ее. Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения и скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). Гибкая настройка бота осуществляется через файл конфигурации.
После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В троянце предусмотрены средства противодействия анализу и запуску в изолированных и виртуальных окружениях.
Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.
После запуска вредоносной программы инсталлятор троянца проверяет собственное наличие в системе, а также определяет, не запущена ли на компьютере виртуальная машина. Затем Linux.Hanthie устанавливается в системе путем создания файла автозапуска и размещения собственной копии в одной из папок на диске. В папке для хранения временных файлов троянец создает исполняемую библиотеку, которую пытается встроить во все запущенные процессы. Если вредоносной программе не удается встроить собственную библиотеку в какой-либо процесс, Linux.Hanthie запускает из временной папки новый исполняемый файл, отвечающий только за взаимодействие с управляющим сервером, а исходную копию удаляет.
Троянец имеет в своем составе несколько функциональных модулей: в одном из них, представленном в виде библиотеки, реализован основной вредоносный функционал. С использованием данного модуля троянец встраивает граббер в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Граббер позволяет перехватывать HTTP и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также данная библиотека реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.
Троянец способен выполнить несколько команд, в частности, по команде socks он запускает на инфицированной машине прокси-сервер, по команде bind запускает скрипт для прослушивания порта, по команде bc подключается к удаленному серверу, по команде update загружает и устанавливает обновленную версию троянца, а по команде rm — самоудаляется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли следующее сообщение:
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Еще один модуль позволяет троянцу реализовывать ограниченный функционал без выполнения инжектов.

Сигнатура данного троянца добавлена в вирусные базы, он успешно определяется и удаляется из инфицированной системы антивирусным ПО Dr.Web.

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X
« Ответ #7 : 15 Май 2014, 21:15 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Стереотипное мнение о том, что операционные системы, построенные на базе ядра Linux, в силу особенностей своей архитектуры полностью защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО.
В мае 2014 года специалисты компании «Доктор Веб» выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак.
Эти вредоносные программы объединяют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.
Так, вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром функциональных возможностей. После своего запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).
Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера — в том числе о типе процессора и объеме памяти — и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы заключается в выполнении DDoS-атак по команде с удаленного узла.
Следующая группа угроз для ОС Linux, исследованных специалистами «Доктор Веб» в текущем месяце, включает троянцев Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Подобно другим представителям данного класса DDoS-троянцев, Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:
SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1 000 сообщений);
Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
отправка запросов на серверы DNS (DNS Amplification);
отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).
Также по команде с удаленного сервера Linux.DnsAmp может записать информацию в файл журнала, повторить атаку или обновиться.
Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически, эти реализации троянца могут выполнять только три поступающих с управляющего сервера директивы: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.
Наконец, следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов. Все перечисленные вредоносные приложения детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для пользователей данного продукта.
Поблагодарили: Anthrax13

Оффлайн ANDREW44

  • *
  • Сообщений: 1771

Вирусы для OS X
« Ответ #8 : 15 Май 2014, 21:58 »
при перезагрузке на мак ос вся хрень обнуляется (да и я сомневаюсь что вирусы существуют на маках ни разу ничего не ловил) считаю враньём.

Оффлайн Anthrax13

  • *
  • Сообщений: 4100

Вирусы для OS X
« Ответ #9 : 16 Май 2014, 07:18 »
Только у некоторых это бывает, ведь правда же  :)

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X
« Ответ #10 : 20 Май 2014, 14:25 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Практически все они предназначены для осуществления DDoS-атак с использованием разных протоколов.
Вопреки бытующему мнению о том, что ОС, созданные нa базе ядра Linux, защищены от внедрения вредоносного ПО, в нынешнем месяце эксперты из "Доктор Веб" зафиксировали и исследовали рекордное количество троянов для Linux. Примечательно, что практически все они предназначены для осуществления DDoS-атак с использованием разных протоколов.
Одним из таких троянов является вредонос, идентифицируемый "Доктор Веб" как Linux.DDoS.3, способный определять адрес C&C-сервера и отправлять на него информацию о зараженной системе. Получив от злоумышленников дальнейшие задачи и выполнив их, он отправляет отчет. С помощью этого вредоносного ПО киберпреступники могут осуществлять DDoS-атаки на заданный сервер, используя TCP/IP (TCP flood), UDP (UDP flood). Для того чтобы усилить эффективность атаки, троян отправляет запросы на серверы DNS.
Модификациями вредоноса являются Linux.DDoS.22 и Linux.DDoS.24, предназначенные для DDoS-атак с удаленного узла по команде. Первый из них рассчитан на дистрибутивы Linux для процессоров ARM, второй – на 32-разрядные версии Ubuntu и CentOS. Трояны собирают данные об аппаратной конфигурации инфицированного компьютера и отправляют их в зашифрованном виде на C&C-сервер, подконтрольный злоумышленникам.
Вредоносное ПО семейства Linux.DnsAmp, исследованное экспертами, использует сразу два C&C-сервера и могут заражать как 32-разрядные, так и 64-разрядные версии Linux. Для них характерна отправка специально сформированного пакета на атакуемый узел до тех пор, пока он не перестанет отвечать на запросы, установка соединения с атакуемым узлом через UDP и отправка жертве тысячи сообщений, формирование эхо-запроса при помощи ICMP и отправка запросов на серверы DNS и NTP.
Для ARM-совместимых дистрибутивов Linux эксперты обнаружили троян Linux.Mrblack, предназначенный для осуществления DDoS-атак с использованием протоколов TCP/IP и HTTP.
Поблагодарили: Anthrax13

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X
« Ответ #11 : 06 Июнь 2014, 16:08 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
В июне нынешнего года эксперты из «Доктор Веб» обнаружили новое семейство троянов для 32-разрядных дистрибутивов Linux - Linux.BackDoor.Gates.
Несмотря на бытующее среди пользователей мнение, что для платформ на базе ядра Linux не существует опасных угроз, эксперты из «Доктор Веб» уверяют, что это не так. Они сообщили, что в мае нынешнего года ими обнаружено рекордное, по сравнению с предыдущими месяцами, количество вредоносного ПО для Linux.
По словам экспертов, в июне они зафиксировали новое семейство троянов для 32-разрядных дистрибутивов этой платформы, получившее название Linux.BackDoor.Gates. Отличительной чертой вредоносов является то, что они совмещают в себе функционал как бэкдоров, так и троянов, использующихся для DDoS-атак.
В «Доктор Веб» считают, что авторами нового семейства являются создатели Linux.DnsAmp и Linux.DDoS. Троян Linux.BackDoor.Gates.5 состоит из двух функциональных модулей. Основной модуль представляет собой бэкдор, который выполняет поступающие от злоумышленников команды. В процессе установки он также сохраняет на диск второй модуль, предназначенный для осуществления DDoS-атак.
Linux.BackDoor.Gates.5 способен собирать и передавать киберпреступникам такую информацию о зараженном компьютере, как количество ядер, скорость и использование CPU; IP и MAC-адрес Gate; данные о сетевых интерфейсах; MAC-адрес сетевого устройства; объем памяти, а также переданных и полученных данных; название и версия ОС. Вредоносное ПО реализовывает одну из четырех возможных моделей поведения в зависимости от пути к папке, из которой он был запущен.
Подробнее ознакомиться с отчетом экспертов из «Доктор Веб»
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
 

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X
« Ответ #12 : 05 Февраль 2015, 21:10 »
«Доктор Веб»: Новый бэкдор для ОС Linux позволяет осуществить DDoS-атаку

Троян может обновить свой исполняемый файл или удалить себя.
Исследования «Доктор Веб»  показали , что появился новый вирус, который отличается от других троянов для ОС Linux своей особой многофункциональностью. Бэкдор обладает возможностью выполнять различные команды, поступающие от злоумышленников, организовывать DDoS-атаки и реализует обширный ряд других функциональных задач.
По команде злоумышленников, бэкдор может назначить зараженной машине уникальный идентификатор, начать DDoS-атаки, такие как SYN Flood, UDP Flood, HTTP Flood и NTP Amplification на удаленный узел с заданным адресом, прекратить начатую ранее атаку, обновить исполняемый файл, записать информацию в файл или удалить себя.
Троян также способен выполнять отдельный блок задач с различными файловыми объектами. Получив соответствующую команду, бэкдор отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков, данных в файловой системе, количество свободных блоков).
После этого вирус в силе запустить, переименовать, принять, удалить файл, отправить файл на C&C-сервер, отправить ему сигнал о готовности принять файл, создать файл, в котором можно будет сохранить принимаемые данные, перечислить файлы и каталоги внутри указанного каталога, отослать на сервер сведения о размере файла, создать и удалить каталог. Кроме этого, он способен запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap.
 
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн Jagron

  • *
  • Сообщений: 7107
  • Пол: Мужской

Вирусы для OS X
« Ответ #13 : 08 Февраль 2015, 21:41 »
Новый бэкдор для ОС Linux позволяет осуществить DDoS-атаку
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
и как это Ваше сообщение относится к "яблочной" OS X ?
линуксоиды  упорно твердят что Линукс  не подвержен заразе .
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
:)

Оффлайн ALENA

  • *
  • Сообщений: 54127
  • Пол: Женский

Вирусы для OS X и Linux
« Ответ #14 : 10 Февраль 2015, 12:03 »
Linux.BackDoor.Xnote.1 обладает широким функционалом

Специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца, предназначенного для заражения ОС Linux.Данная вредоносная программа обладает возможностью выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, а также реализует широкий спектр других функциональных возможностей.
Новая вредоносная программа для Linux, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков компании «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.
В первую очередь Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия троянца, и, если таковая обнаруживается, завершает свою работу. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.
Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троянец и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем троянец переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.
Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троянец может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:
Цитата
перечислить файлы и каталоги внутри указанного каталога;
отослать на сервер сведения о размере файла;
создать файл, в который можно будет сохранить принимаемые данные;
принять файл;
отправить файл на управляющий сервер;
удалить файл;
удалить каталог;
отправить управляющему серверу сигнал о готовности принять файл;
создать каталог;
переименовать файл;
запустить файл.
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или запустить собственную реализацию сервера portmap.

Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web, и потому пользователи Антивируса Dr.Web для Linux защищены от действия этого троянца.