安全安全公司的网络研究人员已经发现了一个新的Linux后门被称为Linux.BackDoor.FakeFile.1。
安全公司发现越来越多的恶意软件专门针对linux的系统 。
Linux和其他操作系统一样,可能是感染了恶意代码,目的是入侵主机得到控制权。
Linux架构到处都是,骗子很容易找到脆弱的Linux服务器暴露在互联网上或设计不良保护不当的物联网设备配置。
这是正常的黑客对 Linux恶意软件威胁景观的自然进化,因为Linux操作系统是首选平台在数据中心,云基础设施企业,和应用程序服务器。
linux也是安卓系统核心的安卓设备和许多其他嵌入式系统。
最后一个恶意软件被称为叫 Linux.BackDoor.FakeFile,它被一家安全公司的DrWeb杀毒软件发现。
Linux.BackDoor.FakeFile木马传播通过PDF、微软、或开放的办公文档。
当受害者执行的恶意软件,它可以节省自己的文件夹。 gconf /应用程序/ gnome-common / gnome-common在用户的主目录。
然后Linux.BackDoor.FakeFile寻找隐藏的文件,他的名字匹配文件名的恶意软件,并在可执行文件替换了它的代码。
“举个例子,如果一个ELF文件的 Linux.BackDoor.FakeFile.1 叫AnyName。 pdf,木马将.AnyName寻找下一个隐藏的文件名称。 pdf然后替换原来的文件,它通过使用命令mv .AnyName。 pdf AnyName.pdf。 如果文件没有找到, Linux.BackDoor.FakeFile.1 创建并打开它的计划 中用户 。 “读取 分析 由DrWeb出版。
恶意软件检查安装的Linux发行版,不是openSUSE每个发行版,它将命令写入文件
- 第一个线程股票与指挥控制通信(C&C)服务器。
- 第二个线程监控将关闭连接的持续时间30分钟后没有活动。
下面的完整列表 Linux.BackDoor.FakeFile.1能力:
- 中华商务服务器发送的消息数量转移在会话;
- 发送一个指定文件夹的内容列表;
- 发送C&C服务器指定的文件或文件夹和所有它的内容;
- 删除一个目录;
- 删除一个文件;
- 重命名一个文件夹;
- 删除本身;
- 推出一个新副本的过程;
- 关闭当前会话;
- 建立backconnect和sh运行;
- 终止backconnect;
- 开放进程的可执行文件编写;
- 关闭流程文件;
- 创建一个文件或文件夹;
- 写文件的传播价值;
- 获得姓名、权限、大小和文件在指定的目录的创建日期;
- 集777指定的文件上的特权;
- 终止后门的操作。
研究人员从DrWeb高亮显示 Linux.BackDoor.FakeFile.1 不需要root特权,它是直接获取当前用户的权限。
技术细节的Linux后门是可用的 在这里 。
