2014.11.25

Doctor Web公司技术人员侦测到了一种危险的Linux木马，感染对象是使用Linux操作系统的计算机和其它设备，该恶意程序已被添加到病毒库，命名为Linux.BackDoor.Fgt.1。其功用是组织大规模的DDos攻击。

木马Linux.BackDoor.Fgt.1在被感染设备启动后，会试图与一个Google服务器建立连接来上检查设备是否接通互联网，如成功建立连接，木马会确定被感染设备的IP和MAC地址。随后Linux.BackDoor.Fgt.1试图与其地址“嵌在”木马体内的指令服务器建立连接，并将恶意程序版本信息发送到服务器上。等待响应，接收到数据块是在需在被感染设备执行的指令。如果控制服务器发来的指令是PING，木马会发送响应PONG，并继续在被感染设备上运行。在接到DUP指令后Linux.BackDoor.Fgt.1结束运行。

该木马根据不法分子的指令启动运行周期，利用特殊功能在一个运行周期内对随机选择的256个远程IP地址进行扫描。在IP地址生成过程中Linux.BackDoor.Fgt.1检查其是否在局域网内编址范围，并忽略在此范围内的地址。 如果未能成功建立连接，Linux.BackDoor.Fgt.1会将相关信息发送到不法分子的控制服务器上。如果已建立连接，恶意程序会试图连接到Telnet服务使用的远程节点端口，并从被攻击的机器上获取登录请求。将事先生成的列表中的登录名发送到远程节点后，Linux.BackDoor.Fgt.1会分析发回的响应。如果其中带有输入密码的请求，木马会依次输入列表中的密码以试图登录。如登录成功，Linux.BackDoor.Fgt.1会将成功获取其验证数据的设备的IP地址、登录名和密码发送到控制服务器上，并向被攻击节点发送下载专门脚本的指令。被攻击的节点从互联网下载Linux.BackDoor.Fgt.1木马的可执行文件并在被入侵的系统启动。值得注意的是，病毒编写者的服务器上存有大量Linux.BackDoor.Fgt.1可执行文件，分别针对各种Linux版本，包括MIPS嵌入式系统和用于SPARC服务器的系统。因此，木马不仅能够感染连接互联网的Linux服务器和工作站，还能够感染诸如路由器等其他设备。

Linux.BackDoor.Fgt.1能够执行一系列不法分子指令，如：

• 查询被感染设备的IP地址；
• 启动或终止扫描进程；
• 针对DNS Amplification节点组织攻击；
• 针对UDP Flood节点组织攻击；
• 针对SYN Flood节点组织攻击；
• 中止DDoS攻击；
• 结束木马运行。

Linux.BackDoor.Fgt.1木马程序记录已被添加到Dr.Web病毒库中，可侦测并删除此威胁。因此使用Doctor Web公司OS Linux产品的用户不必担忧，您所使用的操作系统处于可靠保护之下，此木马无法入侵。