Новая вредоносная программа для операционной системы Linux — Linux.Hanthie — способна скрывать от антивирусов свое присутствие в системе, а также обладает широким вредоносным функционалом, говорится в сообщении производителя антивирусов «Доктор Веб».

На сегодняшний день эта вредоносная программа пользуется большой популярностью на подпольных хакерских форумах, где злоумышленники активно продают ее, отмечают эксперты. Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения и скрытую автозагрузку. Троян не требует привилегий администратора и использует стойкое шифрование для коммуникации с панелью управления (256 бит), то есть запросы хакера программе зашифрованы сложным кодом. После запуска троянец блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО.

Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии, отмечается в сообщении.

После запуска вредоносной программы инсталлятор троянца проверяет собственное наличие в системе. Linux.Hanthie устанавливается в системе путем создания файла автозапуска и размещения собственной копии в одной из папок на диске. В папке для хранения временных файлов троянец создает исполняемую библиотеку, которую пытается встроить во все запущенные процессы. Если вредоносной программе не удается встроить собственную библиотеку в какой-либо процесс, Linux.Hanthie запускает из временной папки новый исполняемый файл, отвечающий только за взаимодействие с управляющим сервером, а исходную копию удаляет.

Троянец имеет в своем составе несколько функциональных модулей: в одном из них, представленном в виде библиотеки, реализован основной вредоносный функционал. С использованием данного модуля троянец встраивает граббер (программа, собирающая данные со сторонних ресурсов) в популярные браузеры Mozilla Firefox, Google Chrome, Opera, а также действующие только под Linux браузеры Chromium и Ice Weasel. Граббер позволяет перехватывать http и https-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм.

Данная библиотека также реализует функции бэкдора (программы, установленной злоумышленником на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе), при этом трафик при обмене данными с управляющим сервером шифруется.