發現這件事的Dr.Web的安全研究人員說:“木馬似乎是通過破殼漏洞感染的這些Linux機器——現在仍然有很多設備沒有補上這個漏洞。”該木馬被命名為Linux.DDoS.93,它首要會修改/var/run/dhcpclient-eth0.pid這個文件,並通過它在計算機啟動時運行。如果該文件不存在,就會自己創建一個。
當該木馬運行起來以後會進行初始化,它會啟動兩個進程,一個用於與C&C(控制)服務器通訊,另外一個用於確保木馬的父進程一直運行。
該木馬啟動25個子進程進行DDoS攻擊當控制該木馬網絡的攻擊者發起攻擊命令時,這個木馬會啟動25個子進程來進行DDoS攻擊。
當前,該木馬可以發出UDP洪泛(針對隨機或特定端口),TCP洪泛(簡單的包,或給每個包隨機增加至多4096字節的數據)和HTTP洪泛(通過 POST、GET或HEAD請求)。而且,該木馬還能自我更新、自我刪除、終止自己的進程、ping、從C&C服務器下載和運行文件。
當它發現某些名字時會關閉這個木馬還包括一個功能,如果在掃描計算機內存並列出活動的進程時發現如下字符串會關閉自己:
privmsggetlocalipkaitenbrian krebsbotnetbitcoin minelitecoin minerootkitkeyloggerddosingnullinghackforumsskiddiescript kiddieblackhatwhitehatgreyhatgrayhatdoxingmalwarebootkitransomwarespywarebotkiller
這些字符串大多數與信息安全領域有關,似乎是為了防止安全研究人員的反向工程研究,或者是為了避免感染該惡意軟件作者自己的機器。
在感染過程中,該木馬也會掃描它的舊版本,並會關閉舊版本然後安裝一個新的。這意味著這是一個自動更新系統,該木馬的最新版本總是會出現在被感染的機器上。
Linux是過去一個月以來最熱門的木馬攻擊平台,在最近 30 天內,安全研究人員已經發現、分析和曝光了其它五個Linux木馬: Rex、PNScan、Mirai、LuaBot和Linux.BackDoor.Irc。
原文來自:https://linux.cn:443/article-7782-1.html
本文地址:http://www.linuxprobe.com/linux-ddos-trojan.html
http://xxxxxx/Linuxjc/1184568.html TechArticle
