来自俄罗斯杀毒厂商Dr. Web的专家发现了Rekoobe,这是一款针对Linux系统的恶意软件。
Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马较初只会感染Linux SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。
木马介绍
专家解释称,Rekoobe木马本身十分简单,但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。
“Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件,木马就会周期性地接收C&C服务器的命令。在特定情况下,与服务器的连接会经由代理。” Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块,每一块都被加密,并且含有自己的签名。”
木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种:
/usr/lib/liboop-trl.so.0.0.0 /usr/lib/libhistory.so.5.7 /usr/lib/libsagented.so.1 /usr/lib/libXcurl /usr/lib/llib-llgrpc
研究人员发现,Rebooke可以在受感染的系统中执行恶意的payload,进而完全控制目标主机。
“Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”
不幸的是,Rekoobe的作者已经把这款木马移植到了其他的操作系统,包括Android、Mac OS X和Windows。
SHA1
a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC) 04f691e12af2818015a8ef68c6e80472ae404fec (SPARC) 466d045c3db7c48b78c6bb95873b817161a96370 (SPARC) cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86) 8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)
Linux恶意软件
很多用户可能认为Linux系统能够免疫恶意软件,事实上,上个月就出现过针对Linux勒索软件Linux.Encoder.1,因此我们还是需要保持必要的警惕。
