The FinFisher dropper 'wgetTest' found in the leaked ~36GB torrent for Linux cre

1. The FinFisher dropper 'wgetTest' found in the leaked ~36GB torrent for Linux creates a random directory in /home/$USER selecting from the following list:
2.  
3. .data:0804D0E0 common_directories_to_infect dd offset a_cache
4. .data:0804D0E0                                         ; DATA XREF: count_infection_element_paths_and_names+10o
5. .data:0804D0E0                                         ; get_and_create_infection_dir_and_filename+68r ...
6. .data:0804D0E0                                         ; ".cache"
7. .data:0804D0E4 off_804D0E4     dd offset a_dbus        ; DATA XREF: FFB8F40Co
8. .data:0804D0E4                                         ; ".dbus"
9. .data:0804D0E8                 dd offset a_fontconfig  ; ".fontconfig"
10. .data:0804D0EC                 dd offset a_gconf       ; ".gconf"
11. .data:0804D0F0                 dd offset a_gnome       ; ".gnome"
12. .data:0804D0F4                 dd offset a_gnome2      ; ".gnome2"
13. .data:0804D0F8                 dd offset a_kde         ; ".kde"
14. .data:0804D0FC                 dd offset a_local       ; ".local"
15. .data:0804D100                 dd offset a_qt          ; ".qt"
16. .data:0804D104                 dd offset a_ssh         ; ".ssh"
17.  
18. So, an example could be /home/joxean/.cache/. Then, a sub-directory inside this directory is selected from the following list:
19.  
20. .data:0804D140 ; char **possible_files_to_detect_infection[6]
21. .data:0804D140 possible_files_to_detect_infection dd offset a_config
22. .data:0804D140                                         ; DATA XREF: count_infection_element_paths_and_names+42o
23. .data:0804D140                                         ; get_and_create_infection_dir_and_filename+104r ...
24. .data:0804D140                                         ; ".config"
25. .data:0804D144                 dd offset a_bin         ; ".bin"
26. .data:0804D148 off_804D148     dd offset a_sbin        ; DATA XREF: FFB8F408o
27. .data:0804D148                                         ; ".sbin"
28. .data:0804D14C off_804D14C     dd offset a_etc         ; ".etc"
29. .data:0804D150                 dd offset a_cfg         ; ".cfg"
30. .data:0804D154                 dd offset a_apps        ; ".apps"
31.  
32. So, an example could be /home/asier/.cache/.sbin. Then, the dropper patches itself and copies (patched) in the selected directory with the following name:
33.  
34. data:0804D1A0 ; char *g_likely_executable_names[8]
35. .data:0804D1A0 g_likely_executable_names dd offset aCpuset
36. .data:0804D1A0                                         ; DATA XREF: count_infection_element_paths_and_names+74o
37. .data:0804D1A0                                         ; check_already_infected+396o ...
38. .data:0804D1A0                                         ; "cpuset"
39. .data:0804D1A4                 dd offset aKthreadd     ; "kthreadd"
40. .data:0804D1A8                 dd offset aKsnapd       ; "ksnapd"
41. .data:0804D1AC                 dd offset aUdevd        ; "udevd"
42. .data:0804D1B0                 dd offset aDbusDaemon   ; "dbus-daemon"
43. .data:0804D1B4                 dd offset aAtd          ; "atd"
44. .data:0804D1B8                 dd offset aCrond        ; "crond"
45. .data:0804D1BC                 dd offset aHald         ; "hald"
46.  
47. So, again, an example process could be /home/joe/.cache/.sbin/atd.
48.  
49. When the file is dropped and patched then the main dropper forks and the child executes the dropped process with a line similar to the following one:
50.  
51. (...)
52.       chdir(infection_path);
53.       execl(infection_command, infection_command, "80.so", "RunDll", 0);
54. (...)