Die Entwickler hatten sich zum Ziel gesetzt, den Schädling mit neuen Funktionen wie Dateisystem-Manager, Trojaner für DDoS-Angriffe, Proxy-Server usw. auszurüsten. Daneben sollte der Trojaner neben Linux auch für das Betriebssystem Windows eingesetzt werden können. Doch in der Realität wurden nicht alle Funktionen konsistent umgesetzt. So funktioniert die Malware nicht plattformunabhängig - weder für Linux noch für Windows. Ferner haben viele Komponenten und Features keinerlei Bezug zu Linux.
Beim Start prüft Linux.BackDoor.Dklkt.1 seinen Ordner auf eine Konfigurationsdatei mit allen notwendigen Parametern. Die Datei enthält u.a. drei Adressen von Verwaltungsservern des Backdoor-Trojaners. Davon wird nur eine gebraucht, die zwei anderen sind als Reserveadressen gedacht. Die Konfigurationsdatei wurde mittels Base64 verschlüsselt. Beim Start registriert sich Linux.BackDoor.Dklkt.1 auf dem anzugreifenden PC als Systemdienst und bricht - wenn die Anmeldung fehlschlägt - ab.
Dr.Web-Nutzer sind geschützt
Nachdem der Trojaner gestartet ist, erstellt und versendet er ein Datenpaket zum infizierten System. Der Datenverkehr zwischen der Backdoor und dem Remote-Verwaltungszentrum läuft via LZO und wird durch Blowfish verschlüsselt. Jedes Datenpaket wird mit einer Kontrollsumme von Daten ausgerüstet, wodurch die Integrität von Daten geprüft werden soll.
Danach wartet Linux.BackDoor.Dklkt.1 auf eingehende Befehle wie z.B. DDoS-Angriffe, Start des SOCKS Proxy-Servers, Start einer vorgegebenen Anwendung, Neustart oder Herunterfahren des PCs. Alle anderen Befehle werden von Linux.BackDoor.Dklkt.1 entweder ignoriert oder falsch bearbeitet. Der Trojaner ist außerdem in der Lage, folgende DDoS-Angriffe durchzuführen:
- SYN Flood
- HTTP Flood (POST/GET-Anfragen)
- ICMP Flood
- TCP Flood
- UDP Flood
Die Benutzer von Dr.Web für Linux sind gegen den Trojaner zuverlässig geschützt, da die Signatur für die neue Backdoor bereits in die Virendatenbank von Dr.Web Antivirus aufgenommen wurde.
Beim Start prüft Linux.BackDoor.Dklkt.1 seinen Ordner auf eine Konfigurationsdatei mit allen notwendigen Parametern. Die Datei enthält u.a. drei Adressen von Verwaltungsservern des Backdoor-Trojaners. Davon wird nur eine gebraucht, die zwei anderen sind als Reserveadressen gedacht. Die Konfigurationsdatei wurde mittels Base64 verschlüsselt. Beim Start registriert sich Linux.BackDoor.Dklkt.1 auf dem anzugreifenden PC als Systemdienst und bricht - wenn die Anmeldung fehlschlägt - ab.
Dr.Web-Nutzer sind geschützt
Nachdem der Trojaner gestartet ist, erstellt und versendet er ein Datenpaket zum infizierten System. Der Datenverkehr zwischen der Backdoor und dem Remote-Verwaltungszentrum läuft via LZO und wird durch Blowfish verschlüsselt. Jedes Datenpaket wird mit einer Kontrollsumme von Daten ausgerüstet, wodurch die Integrität von Daten geprüft werden soll.
Danach wartet Linux.BackDoor.Dklkt.1 auf eingehende Befehle wie z.B. DDoS-Angriffe, Start des SOCKS Proxy-Servers, Start einer vorgegebenen Anwendung, Neustart oder Herunterfahren des PCs. Alle anderen Befehle werden von Linux.BackDoor.Dklkt.1 entweder ignoriert oder falsch bearbeitet. Der Trojaner ist außerdem in der Lage, folgende DDoS-Angriffe durchzuführen:
- SYN Flood
- HTTP Flood (POST/GET-Anfragen)
- ICMP Flood
- TCP Flood
- UDP Flood
Die Benutzer von Dr.Web für Linux sind gegen den Trojaner zuverlässig geschützt, da die Signatur für die neue Backdoor bereits in die Virendatenbank von Dr.Web Antivirus aufgenommen wurde.
