خطر تروجان جدیدی به نام FakeFile رایانههای لینوکسی و مخصوصا سامانههای رومیزی را تهدید میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسندگان بدافزار رایانههای لینوکسی و بهویژه سامانههای رومیزی را با تروجان جدیدی با نام FakeFile هدف قرار دادهاند که هماکنون در حملات مختلف توزیع شدهاست.
شرکت ضدویروس روسی Dr.Web این تروجان را در ماه اکتبر کشف کردهاست. تحلیلگران بدافزار این شرکت میگویند این بدافزار در قالب پروندههای آرشیوی PDF، آفیس و OpenOffice گسترش مییابد.
تروجان توزیع openSUSE را هدف قرار ندادهاست. آلودگی زمانی شروع میشود که قربانی پروندهها را باز میکند. تروجان با رونویسی خود در مسیر <HOME>/.gconf/apps/gnome-common/gnome-common شروع به فعالیت میکند سپس یک پرونده decoy را باز میکند و از این رو FakeFile نامگذاری شدهاست.
همچنین تروجان در پروندههای profile. و bash_profile. کاربر یک میانبر به خودش ایجاد میکند که به او اجازه بهدستآوردن ماندگاری بوت بین ریبوتهای رایانه میدهد.
جالب این است که تروجان دارای یک قانون خاص در کد منبع است که اگر توزیع لینوکس openSUSE باشد، مانع از آلودگی سامانه میشود. یک دلیل برای این کار میتواند باشد که نویسنده بدافزار از توزیع openSUSE استفاده میکند اما این فقط یک حدس و گمان است چرا که این نظریه غیرممکن است که مورد بررسی قرار بگیرد.
FakeFile یک تروجان در پشتی تمامعیار است. زمانیکه دستورات اولیه انجام شد، سرگرمی اصلی شروع میشود و FakeFile با کارگزار دستور و کنترل خود برای دریافت دستورات بیشتر ارتباط برقرار میکند.
براساس سرنخهایی که در کد این تروجان پیدا شده، تروجان میتواند فعالیتهای جدی همچون نامگذاری مجدد و حذف پروندهها، ارسال یک پرونده یا کل پوشه به کارگزار دستور و کنترل، ارسال فهرستی از پروندههای پیداشده در یک پوشه به کارگزار دستور و کنترل و ایجاد پرونده و پوشه جدید را انجام دهد. همچنین این تروجان میتواند پروندهها و دستورات شِل را اجرا کند، مجوزهایی برای پرونده یا پوشه خاصی دریافت و تنظیم کند، به فرایندها خاتمه دهد و خود را از سامانه آلوده حذف کند.
FakeFile نیاز به دسترسی ریشه ندارد. یک مسئله آزاردهنده این است که FakeFile برای تمامی عملیات خود نیاز به دسترسی ریشه ندارد و میتواند با مجوزهای فعلی کاربر بهخوبی کار کند.
تعداد تروجانهایی که بستر لینوکس را هدف قرار دادهاند در سال گذشته بهطور فوقالعادهای افزایش یافتهاست اما در بسیاری از موارد، این کارگزارهای لینوکسی و دستگاههای IoT که هدف قرار گرفتهاند دارای سامانه عامل مشتقشده از لینوکس هستند.
شرکتهای امنیتی بهندرت با تروجانهایی که محیط لینوکس رومیزی را هدف قرار دادهاند، روبهرو میشوند. هنگام نگارش این پست، Dr.Web هنوز نمیداند این تروجان چگونه گسترش مییابد ولی هرزنامه اولین مظنون در این ماجرا است چرا که نویسندگان بدافزار معمولاً از هرزنامه و پروندههای مربوط به آفیس برای توزیع تروجانهای در پشتی در سامانههای ویندوز و مک استفاده میکنند.