一個月內發現的第六起 Linux DDoS 木馬

該木馬被命名為 Linux.DDoS.93，它首要會修改 /var/run/dhcpclient-eth0.pid 這個文件，並通過它在計算機啟動時運行。如果該文件不存在，就會自己創建一個。

當該木馬運行起來以後會進行初始化，它會啟動兩個進程，一個用於與 C&C （控制）伺服器通訊，另外一個用於確保木馬的父進程一直運行。

該木馬啟動 25 個子進程進行 DDoS 攻擊

當控制該木馬網路的攻擊者發起攻擊命令時，這個木馬會啟動 25 個子進程來進行 DDoS 攻擊。

當前，該木馬可以發出 UDP 洪泛（針對隨機或特定埠），TCP 洪泛（簡單的包，或給每個包隨機增加至多 4096 位元組的數據）和 HTTP 洪泛（通過 POST、GET 或 HEAD 請求）。

而且，該木馬還能自我更新、自我刪除、終止自己的進程、ping、從 C&C 伺服器下載和運行文件。

當它發現某些名字時會關閉

這個木馬還包括一個功能，如果在掃描計算機內存並列出活動的進程時發現如下字元串會關閉自己：

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

這些字元串大多數與信息安全領域有關，似乎是為了防止安全研究人員的反向工程研究，或者是為了避免感染該惡意軟體作者自己的機器。

在感染過程中，該木馬也會掃描它的舊版本，並會關閉舊版本然後安裝一個新的。這意味著這是一個自動更新系統，該木馬的最新版本總是會出現在被感染的機器上。

Linux 是過去一個月以來最熱門的木馬攻擊平台，在最近 30 天內，安全研究人員已經發現、分析和曝光了其它五個 Linux 木馬： Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive