Linux.Hanthie - новый троян для Linux с расширенным арсеналом


Linux.Hanthie - вредоносная программа для Linux, обладающая широким вредоносным функционалом и способная скрывать от антивирусов свое присутствие в системе.

Linux.Hanthie позиционируется как бот класса FormGrabber и BackDoor для ОС Linux, имеющий:

  • механизмы антиобнаружения;
  • скрытую автозагрузку;
  • не требующий привилегий администратора;
  • использующий стойкое шифрование для коммуникации с панелью управления (256 бит).


Гибкая настройка бота осуществляется через файл конфигурации.

После запуска троян блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. В трояне встроены средства противодействия анализу и запуску в изолированных и виртуальных окружениях.

Текущая версия Linux.Hanthie не обладает механизмами самокопирования, поэтому для его распространения лучше использовать методы социальной инженерии. Троян способен работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE.

После запуска вредоноса, инсталлятор трояна проверяет собственное наличие в системе, а также определяет, не запущена ли на компьютере виртуальная машина. Затем Linux.Hanthie устанавливается в системе путем создания файла автозапуска и размещения собственной копии в одной из папок на диске. В папке для хранения временных файлов троян создает исполняемую библиотеку, которую пытается встроить во все запущенные процессы. Если вредоносной программе не удается встроить собственную библиотеку в какой-либо процесс, тогда Linux.Hanthie запускает из временной папки новый исполняемый файл, отвечающий только за взаимодействие с управляющим сервером, а исходную копию удаляет.

Троян имеет в своем составе несколько функциональных модулей. В одном из таких модулей, представленном в виде библиотеки, реализован основной вредоносный функционал. При его использовании троян встраивает граббер в популярные браузеры:

  • Mozilla Firefox;
  • Google Chrome;
  • Opera;
  • Chromium;
  • Ice Weasel.


Граббер позволяет перехватывать HTTP и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Также данная библиотека реализует функции бэкдора, при этом трафик при обмене данными с управляющим сервером шифруется.

Троян способен выполнить несколько команд, например:

  • по команде socks - будет запущен на инфицированной машине прокси-сервер;
  • по команде bind - запускается скрипт для прослушивания порта;
  • по команде bc - подключается к удаленному серверу;
  • по команде update - загружает и устанавливает обновленную версию трояна;
  • по команде rm — самоудаляется.


При попытке обращения к запущенным скриптам bind или bc троян выводит в командной консоли следующее сообщение:

Soobshenie ot trojana Linux.Hanthie

Еще один модуль позволяет трояну реализовывать ограниченный функционал без выполнения инжектов.