2016年10月20日

株式会社Doctor Web Pacific

バックドア型トロイの木馬の多くはMicrosoft Windowsを狙って作成されていますが、中にはLinuxデバイスを感染させるものも存在します。そのような数少ないトロイの木馬の1つが2016年10月にDoctor Webのスペシャリストによって発見されました。

Linux.BackDoor.FakeFile.1 と名付けられたこのトロイの木馬は、アーカイブされたPDFファイルやMicrosoft Officeファイル、Open Officeファイルとして拡散されています。

起動されると、 Linux.BackDoor.FakeFile.1 はユーザーのホームディレクトリ内にある.gconf/apps/gnome-common/gnome-commonフォルダに自身を保存します。次に、トロイの木馬のファイル名と一致する隠しファイルを探し、それを実行ファイルと置き換えます。例えば、 Linux.BackDoor.FakeFile.1 のELFファイルの名前がAnyName.pdfだった場合、トロイの木馬はAnyName.pdfという名前の隠しファイルを探し、mv .AnyName.pdf AnyName.pdfコマンドを使用してそのファイルを置き換えます。ファイルが見つからなかった場合、 Linux.BackDoor.FakeFile.1 によってファイルが作成され、geditプログラム内で開かれます。

続けて、 Linux.BackDoor.FakeFile.1 はインストールされているLinuxディストリビューション名をチェックし、それがopenSUSE以外であった場合は<HOME>/.profileファイルまたは<HOME>/.bash_profileファイルにコマンドを書き込み、トロイの木馬が自動的に起動されるようにします。その後、自身のファイルから設定データを取り出して復号化し、2つのスレッドを実行します。1つ目のスレッドはC&Cサーバーと情報を共有し、2つ目のスレッドは接続時間をモニタリングします。指示を受け取らない時間が30分を超えると、トロイの木馬は接続を切断します。

Linux.BackDoor.FakeFile.1 は以下のコマンドを実行することができます：

• 現在のセッション中に送信されたメッセージ数をC&Cサーバーに送信する
• 指定されたフォルダの内容一覧を送信する
• 指定されたファイルまたはフォルダとその全ての内容をC&Cサーバーへ送信する
• ディレクトリを削除する
• ファイルを削除する
• フォルダの名前を変更する
• 自身を削除する
• プロセスの新しいコピーを実行する
• 現在のセッションを閉じる
• コネクトバック通信を確立しshを実行する
• コネクトバック通信を終了する
• 書き込みのためにプロセスの実行ファイルを開く
• プロセスファイルを閉じる
• ファイルまたはフォルダを作成する
• 送信された値をファイルに書き込む
• 指定されたディレクトリ内にあるファイルの名前、パーミッション、サイズ、作成日を取得する
• 指定されたファイルに権限777を与える
• バックドアの動作を終了する

Linux.BackDoor.FakeFile.1 は、自身が起動されたカレントユーザーアカウントの権限を使用して悪意のある動作を実行することができ、ルート権限を必要としません。Dr.Web for Linuxのデータベースには既にこのトロイの木馬のシグネチャが追加されています。したがって、 Linux.BackDoor.FakeFile.1 はDoctor Webのアンチウイルス製品によって検出・削除されます。