Linux 用戶又有一個木馬需要苦惱了，就像以往一樣，這些壞蛋大多部署在被劫持的 Linux 系統上，并在接受到命令后發起 DDoS 攻擊。

發現了這件事的 Dr.Web 的安全研究人員說，木馬似乎是通過破殼漏洞Shellshock感染的這些 Linux 機器——現在仍然有很多設備沒有補上這個漏洞。

該木馬被命名為 Linux.DDoS.93，它首要會修改 /var/run/dhcpclient-eth0.pid 這個文件，并通過它在計算機啟動時運行。如果該文件不存在，就會自己創建一個。

當該木馬運行起來以后會進行初始化，它會啟動兩個進程，一個用于與 C&C (控制)服務器通訊，另外一個用于確保木馬的父進程一直運行。

該木馬啟動 25 個子進程進行 DDoS 攻擊

當控制該木馬網絡的攻擊者發起攻擊命令時，這個木馬會啟動 25 個子進程來進行 DDoS 攻擊。

當前，該木馬可以發出 UDP 洪泛(針對隨機或特定端口)，TCP 洪泛(簡單的包，或給每個包隨機增加至多 4096 字節的數據)和 HTTP 洪泛(通過 POST、GET 或 HEAD 請求)。

而且，該木馬還能自我更新、自我刪除、終止自己的進程、ping、從 C&C 服務器下載和運行文件。

當它發現某些名字時會關閉

這個木馬還包括一個功能，如果在掃描計算機內存并列出活動的進程時發現如下字符串會關閉自己：

privmsg

getlocalip

kaiten

brian krebs

botnet

bitcoin mine

litecoin mine

rootkit

keylogger

ddosing

nulling

hackforums

skiddie

script kiddie

blackhat

whitehat

greyhat

grayhat

doxing

malware

bootkit

ransomware

spyware

botkiller

這些字符串大多數與信息安全領域有關，似乎是為了防止安全研究人員的反向工程研究，或者是為了避免感染該惡意軟件作者自己的機器。

在感染過程中，該木馬也會掃描它的舊版本，并會關閉舊版本然后安裝一個新的。這意味著這是一個自動更新系統，該木馬的最新版本總是會出現在被感染的機器上。

Linux 是過去一個月以來最熱門的木馬攻擊平臺，在最近 30 天內，安全研究人員已經發現、分析和曝光了其它五個 Linux 木馬：Rex、PNScan、Mirai、 LuaBot和 Linux.BackDoor.Irc。