Linux 用戶又有一個(gè)木馬需要苦惱了，就像以往一樣，這些壞蛋大多部署在被劫持的 Linux 系統(tǒng)上，并在接受到命令后發(fā)起 DDoS 攻擊。

發(fā)現(xiàn)了這件事的 Dr.Web 的安全研究人員說(shuō)，木馬似乎是通過(guò)破殼漏洞Shellshock感染的這些 Linux 機(jī)器——現(xiàn)在仍然有很多設(shè)備沒(méi)有補(bǔ)上這個(gè)漏洞。

該木馬被命名為 Linux.DDoS.93，它首要會(huì)修改 /var/run/dhcpclient-eth0.pid 這個(gè)文件，并通過(guò)它在計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行。如果該文件不存在，就會(huì)自己創(chuàng)建一個(gè)。

當(dāng)該木馬運(yùn)行起來(lái)以后會(huì)進(jìn)行初始化，它會(huì)啟動(dòng)兩個(gè)進(jìn)程，一個(gè)用于與 C&C (控制)服務(wù)器通訊，另外一個(gè)用于確保木馬的父進(jìn)程一直運(yùn)行。

該木馬啟動(dòng) 25 個(gè)子進(jìn)程進(jìn)行 DDoS 攻擊

當(dāng)控制該木馬網(wǎng)絡(luò)的攻擊者發(fā)起攻擊命令時(shí)，這個(gè)木馬會(huì)啟動(dòng) 25 個(gè)子進(jìn)程來(lái)進(jìn)行 DDoS 攻擊。

當(dāng)前，該木馬可以發(fā)出 UDP 洪泛(針對(duì)隨機(jī)或特定端口)，TCP 洪泛(簡(jiǎn)單的包，或給每個(gè)包隨機(jī)增加至多 4096 字節(jié)的數(shù)據(jù))和 HTTP 洪泛(通過(guò) POST、GET 或 HEAD 請(qǐng)求)。

而且，該木馬還能自我更新、自我刪除、終止自己的進(jìn)程、ping、從 C&C 服務(wù)器下載和運(yùn)行文件。

當(dāng)它發(fā)現(xiàn)某些名字時(shí)會(huì)關(guān)閉

這個(gè)木馬還包括一個(gè)功能，如果在掃描計(jì)算機(jī)內(nèi)存并列出活動(dòng)的進(jìn)程時(shí)發(fā)現(xiàn)如下字符串會(huì)關(guān)閉自己：

privmsg

getlocalip

kaiten

brian krebs

botnet

bitcoin mine

litecoin mine

rootkit

keylogger

ddosing

nulling

hackforums

skiddie

script kiddie

blackhat

whitehat

greyhat

grayhat

doxing

malware

bootkit

ransomware

spyware

botkiller

這些字符串大多數(shù)與信息安全領(lǐng)域有關(guān)，似乎是為了防止安全研究人員的反向工程研究，或者是為了避免感染該惡意軟件作者自己的機(jī)器。

在感染過(guò)程中，該木馬也會(huì)掃描它的舊版本，并會(huì)關(guān)閉舊版本然后安裝一個(gè)新的。這意味著這是一個(gè)自動(dòng)更新系統(tǒng)，該木馬的最新版本總是會(huì)出現(xiàn)在被感染的機(jī)器上。

Linux 是過(guò)去一個(gè)月以來(lái)最熱門的木馬攻擊平臺(tái)，在最近 30 天內(nèi)，安全研究人員已經(jīng)發(fā)現(xiàn)、分析和曝光了其它五個(gè) Linux 木馬：Rex、PNScan、Mirai、 LuaBot和 Linux.BackDoor.Irc。