2015年12月3日
株式会社Doctor Web Pacific
Linux.Rekoobe.1の最初の亜種はSPARCアーキテクチャのLinux を感染させるよう設計されていましたが、その後インテル・ベースのコンピューターも対象とするよう変更が加えられています。Doctor Webではインテル・プロセッサと互換性のある32ビットおよび64ビットLinux システムを標的とするLinux.Rekoobe.1が確認されています。
Linux.Rekoobe.1の動作には暗号化された設定ファイルが使用されています。ファイルが読み込まれるとトロイの木馬は定期的にC&Cサーバーと通信を行い、コマンドを受け取ります。サーバーとの接続は、状況に応じてプロキシサーバー経由で確立される場合もあり、認証データは設定ファイルから抽出されます。送受信される情報は全て個別のブロックに分割され、各ブロックは暗号化されてそれぞれの署名を持っています。
Linux.Rekoobe.1はC&Cサーバーから受信した暗号化されたデータを検証するために複雑な手順を用いています。しかしその一方で、このトロイの木馬が実行することのできるコマンドは3つしかありません。C&Cサーバーからのファイルのダウンロードとアップロード、受け取ったコマンドのLinuxインタープリタへの送信、リモートサーバーへのアウトプットの転送です。これによって、サイバー犯罪者が感染したデバイスをリモートで操作することが可能になります。
Dr.Webウイルスデータベースには、現時点までに発見されているLinux.Rekoobe.1の全てのシグネチャが追加されています。したがって、Dr.Web for Linux ユーザーに危害が及ぶことはありません。