«Доктор Веб» проанализировал вредоносную программу Linux.Ellipsis.1, главная задача которой заключается в организации прокси-серверов на компьютерах под управлением операционных систем Linux.

Зловред отличается весьма «параноидальным» поведением. После запуска на инфицированном ПК троян Ellipsis.1 удаляет свой рабочий каталог, а затем пытается завершить ряд работающих приложений, в первую очередь — программы для ведения и просмотра логов, а также анализа трафика. Затем программа удаляет существующие директории и файлы системных журналов и создаёт на их месте папки с соответствующими именами — тем самым блокируется возможность создания логов с такими именами в будущем.

Кроме того, троян удаляет ряд системных утилит и добавляет атрибут «неизменяемый» (immutable) к некоторым необходимым для его дальнейшей работы файлам. Плюс к этому блокируются IP-адреса подсетей, указанные в полученной команде или перечисленные в конфигурационном файле.

Зловред имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удалённым сервером по IP-адресу.

«Параноидальность» поведения трояна заключается ещё и в том, что он проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес узла, с которым установлено соединение. Если сервер отвечает командой «kill», троян прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес.

Прокси-сервер, организованный на инфицированном Linux-компьютере, злоумышленники используют в целях обеспечения собственной анонимности для доступа к устройствам, взломанным при помощи другой вредоносной программы, — Linux.Ellipsis.2. В целом применяемая киберпреступниками схема атаки выглядит так: при помощи трояна Linux.Ellipsis.2 они получают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству или компьютеру, а затем используют этот доступ в различных противоправных целях, сохраняя анонимность посредством Linux.Ellipsis.1.