Специалистами компании «Доктор Веб» обнаружена очередная троянская программа для ОС Linux. Вредоносная программа, названная Linux.Rekoobe.1, может по команде хакеров осуществлять скачивание и загрузку на C&C-сервер разнообразных файлов, а также вступать в взаимодействие с командным интерпретатором Linux на зараженном устройстве.
Задачей первых версий вредоносного программного обеспечения было заражение Linux-устройств с архитектурой SPARC, но в дальнейшем разработчики усовершенствовали троянскую программу, чтобы сделать ее совместимой с платформой Intel.
Троянская программа периодически обращается к C&C-серверу для получения команд. При определенных условиях для связи используется прокси-сервер. Данные для авторизации на этом сервере извлекаются вредоносной программой из зашифрованного конфигурационного файла. Вся информация, которая отправляется и принимается троянской программой, разбивается на блоки, зашифрованные и снабженные собственной подписью.
По словам специалистов «Доктор Веб», в троянской программе разработчиками была реализована довольно сложная система проверки подлинности пакетов с зашифрованными данными, получаемых от сервера. Несмотря на это, программа может выполнять лишь три команды: скачивание или загрузку файлов на C&C-сервер, передачу команд интерпретатору Linux и трансляцию полученного вывода на удаленный сервер. Таким образом злоумышленники могут дистанционно управлять зараженной системой.