来自俄罗斯杀毒厂商Dr. Web的专家发现了Rekoobe，这是一款针对Linux系统的恶意软件。

Dr.Web在10月时发现了Rekoobe，之后的两个月，专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构，之后它经过升级，可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

木马介绍

专家解释称，Rekoobe木马本身十分简单，但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。

“Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件，木马就会周期性地接收C&C服务器的命令。在特定情况下，与服务器的连接会经由代理。” Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块，每一块都被加密，并且含有自己的签名。”

木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种：

/usr/lib/liboop-trl.so.0.0.0
/usr/lib/libhistory.so.5.7
/usr/lib/libsagented.so.1
/usr/lib/libXcurl
/usr/lib/llib-llgrpc

研究人员发现，Rebooke可以在受感染的系统中执行恶意的payload，进而完全控制目标主机。

“Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”

不幸的是，Rekoobe的作者已经把这款木马移植到了其他的操作系统，包括Android、Mac OS X和Windows。

SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

Linux恶意软件

很多用户可能认为Linux系统能够免疫恶意软件，事实上，上个月就出现过针对Linux勒索软件Linux.Encoder.1，因此我们还是需要保持必要的警惕。

作者：Sphinx

来源：51CTO