Dr.Web在10月時(shí)發(fā)現(xiàn)了Rekoobe，之后的兩個(gè)月，專家們對(duì)它進(jìn)行了分析。Rekoobe木馬最初只會(huì)感染Linux SPARC架構(gòu)，之后它經(jīng)過升級(jí)，可以感染運(yùn)行于32位和64位英特爾芯片上的的Linux電腦。

來自俄羅斯殺毒廠商Dr. Web的專家發(fā)現(xiàn)了Rekoobe，這是一款針對(duì)Linux系統(tǒng)的惡意軟件。

Dr.Web在10月時(shí)發(fā)現(xiàn)了Rekoobe，之后的兩個(gè)月，專家們對(duì)它進(jìn)行了分析。Rekoobe木馬最初只會(huì)感染Linux SPARC架構(gòu)，之后它經(jīng)過升級(jí)，可以感染運(yùn)行于32位和64位英特爾芯片上的的Linux電腦。

木馬介紹

專家解釋稱，Rekoobe木馬本身十分簡單，但它難以檢測(cè)。它會(huì)使用加密手段來保護(hù)配置文件和它與C&C服務(wù)器交換的數(shù)據(jù)。

“Linux.Rekoobe.1會(huì)使用加密的配置文件。一旦讀取了配置文件，木馬就會(huì)周期性地接收C&C服務(wù)器的命令。在特定情況下，與服務(wù)器的連接會(huì)經(jīng)由代理。” Dr.Web的一篇博文提到。“惡意軟件會(huì)從配置文件中提取授權(quán)數(shù)據(jù)。收發(fā)的所有信息會(huì)被分割成獨(dú)立的塊，每一塊都被加密，并且含有自己的簽名。”

木馬的配置信息會(huì)儲(chǔ)存在一個(gè)經(jīng)過XOR算法加密的文件里。文件的路徑可能是以下幾種：

/usr/lib/liboop-trl.so.0.0.0

/usr/lib/libhistory.so.5.7

/usr/lib/libsagented.so.1

/usr/lib/libXcurl

/usr/lib/llib-llgrpc

研究人員發(fā)現(xiàn)，Rebooke可以在受感染的系統(tǒng)中執(zhí)行惡意的payload，進(jìn)而完全控制目標(biāo)主機(jī)。

“Linux.Rekoobe.1只能夠執(zhí)行三種命令:下載上傳文件、把接收到的命令發(fā)送給Linux解釋器、將輸出傳輸?shù)竭h(yuǎn)程服務(wù)器——這樣黑客就能夠遠(yuǎn)程與被感染主機(jī)進(jìn)行交互了。”

不幸的是，Rekoobe的作者已經(jīng)把這款木馬移植到了其他的操作系統(tǒng)，包括Android、Mac OS X和Windows。

SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)

04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)

466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)

cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)

8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

Linux惡意軟件

很多用戶可能認(rèn)為Linux系統(tǒng)能夠免疫惡意軟件，事實(shí)上，上個(gè)月就出現(xiàn)過針對(duì)Linux勒索軟件Linux.Encoder.1，因此我們還是需要保持必要的警惕。