Rekoobe:一款针对Linux的恶意软件

来自俄罗斯杀毒厂商Dr. Web的专家发现了Rekoobe,这是一款针对Linux系统的恶意软件。

Rekoobe:一款针对Linux的恶意软件

Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

木马介绍

专家解释称,Rekoobe木马本身十分简单,但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。

“Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件,木马就会周期性地接收C&C服务器的命令。在特定情况下,与服务器的连接会经由代理。” Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块,每一块都被加密,并且含有自己的签名。”

木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种:

/usr/lib/liboop-trl.so.0.0.0
/usr/lib/libhistory.so.5.7
/usr/lib/libsagented.so.1
/usr/lib/libXcurl
/usr/lib/llib-llgrpc

研究人员发现,Rebooke可以在受感染的系统中执行恶意的payload,进而完全控制目标主机。

“Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”

不幸的是,Rekoobe的作者已经把这款木马移植到了其他的操作系统,包括Android、Mac OS X和Windows。

SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

Linux恶意软件

很多用户可能认为Linux系统能够免疫恶意软件,事实上,上个月就出现过针对Linux勒索软件Linux.Encoder.1,因此我们还是需要保持必要的警惕。


作者:Sphinx

来源:51CTO

上一篇:5.4 continue,break跳出循环


下一篇:3D打印房屋只需一天,成本节约50%,未来你可能只差一块地