Analitycy bezpieczeństwa firmy gruntownie przebadali wirusa. Nowy backdoor nosi nazwę Linux.BackDoor.Xnote.1 i aby go rozporzestrzenić przestępcy przeprowadzają atak „brute force” nawiązując w ten sposób połączenie SSH z docelową maszyną. Zdaniem specjalistów Doctor Web’a prawdopodobnie stoi za nim chińska grupa hakerów ChinaZ.
Kiedy wirus dostanie się już do komputera cyberprzestępcy mogą zlecić mu m.in.:
- wylistowanie plików i katalogów wewnątrz określonego katalogu,
- wysyłanie danych o rozmiarach katalogów do serwera,
- tworzenie pliku, w którym mogą być gromadzone otrzymane dane,
- przyjęcie pliku,
- wysyłanie pliku do serwera zarządzającego (C&C),
- usuwanie pliku,
- usuwanie katalogu,
- sygnalizowanie serwerowi gotowości przyjęcia pliku,
- tworzenie katalogu,
- zmianę nazwy pliku,
- uruchamianie pliku.
Oczywiście posiadacze oprogramowania firmy Dr.Web nie muszą się już martwić omawianym backdoorem ponieważ jego sygnatura została dodana do bazy wirusów producenta.
Źródło: Dr.Web