«Доктор Веб» обнаружила новое вредоносное приложение, способное заражать платформу Linux. Вирус, занесенный в базу как Linux.BackDoor.Fgt.1, предназначен для формирования полноценных DDoS-атак.
После активации в системе троянская программа проверяет наличие активного подключения к сети, отправляя запрос на один из серверов Google. Если запрос оказывается успешным, утилита определяет MAC- и IP-адреса. Далее вирус связывается с управляющим узлом для получения новых команд. Если сервер злоумышленников присылает команду PING, троянское приложение отправляет ответ PONG, после чего продолжает работу. Команда DUB предназначена для завершения работы вируса.
Программа имеет специальную функцию, которая позволяет утилите за один цикл сканировать 256 внешних IP-адресов. Для запуска нового цикла необходима внешняя команда. Если IP-адрес отвечает, осуществляется попытка соединиться с портом, который используется службой Telnet. Что позволяет получить запрос на ввод логина. После этого на узел отправляется логин из заранее подготовленного списка и анализируется полученный ответ. Если запрос содержит запрос на ввод пароля, утилита делает попытки авторизоваться, используя пароли из другого списка. Если авторизацию удается пройти, на сервер злоумышленников отправляется логин, IP-адрес и пароль взломанного устройства. На само устройство загружается специальный скрипт, который скачивает и запускает исполняемый модуль вируса.
Вредоносное приложение способно выполнять атаки типа SYN Flood, UDP Flood и DNS Amplification. На сервере управления содержаться разные модификации вредоносной программы для разных дистрибутивов Linux, включая версии для SPARC-серверов и систем с архитектурой MIPS. Это позволяет атаковать не только компьютеры, но и другие устройства, например, маршрутизаторы.