Специалисты антивирусной компании «Лаборатория Касперского» заявили о том, что они смогли обнаружить необычную вредоносную программу для 64-разрядных версий ОС Linux. Свое присутствие вредоносный код, по их мнению, скрывает в системе при помощи весьма хитроумных способов, основным из которых является его необычный функционал. Он, прежде всего, направлен на заражение тех сайтов, которые используются атакованным HTTP-сервером, который находится на серверной стойке. По сути, разговор идет о вредоносной программе, которая организует drive-by загрузки вредоносного ПО.

Этот модуль кода был специально написан для версии ядра с индексом 2.6.32-5-amd64, которая фактически является самой последней версией и используется в 64-разрядной ОС Debian Squeeze. Сам исполняемый файл «весит» чуть более 500 кБ, в первую очередь из-за компиляции отладочной информации. После того, как вредоносный код попадает в систему, он располагается в системной области и прописывается в автозапуске.

Помимо всего прочего, этот троян извлекает адреса памяти переменных ядра ОС и нескольких основных функций и записывает в память с целью дальнейшего использования, а во время работы он применяет сразу несколько методов, чтобы скрыть свою собственную деятельность и несколько важных для него файлов.

Благодаря функционалу, он способен подменять функцию системы tcp_sendmsg, которая служит для построения TCP-пакетов, своей собственной. Именно подобным образом вредоносные фреймы попадают в HTTP-трафик вследствие модификации исходящих TCP-пакетов. Чтобы получить актуальный внедряемый блок, программа поддерживает связь с сервером управления C&C, для аутентификации на котором она применяет зашифрованный пароль.

2.12.2012