Компания «Доктор Веб» сообщила об обнаружении новой вредоносной программы для Linux — Linux.Hanthie. Троян (также известный как Hand of Thief) способен скрывать от антивирусов свое присутствие в системе.
Эта вредоносная программа пользуется популярностью на подпольных хакерских форумах, где злоумышленники активно продают ее. Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий механизмы антиобнаружения и скрытую автозагрузку, не требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит).
После запуска программа блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. Троян может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE. По информации «Доктор Веб», текущая версия вируса не обладает механизмами самокопирования.
Как выяснили специалисты, Linux.Hanthie имеет в своем составе несколько функциональных модулей: в одном из которых, представленном в виде библиотеки, реализован основной вредоносный функционал. С использованием данного модуля троян встраивает граббер в браузеры в том числе действующие только под Linux – Chromium и Ice Weasel. Граббер позволяет перехватывать HTTP и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм.