Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Your tickets

Profile

Back to news

新Linux木马与指令服务器“打乒乓”

2014.11.25

Doctor Web公司技术人员侦测到了一种危险的Linux木马,感染对象是使用Linux操作系统的计算机和其它设备,该恶意程序已被添加到病毒库,命名为Linux.BackDoor.Fgt.1。其功用是组织大规模的DDos攻击。

木马Linux.BackDoor.Fgt.1在被感染设备启动后,会试图与一个Google服务器建立连接来上检查设备是否接通互联网,如成功建立连接,木马会确定被感染设备的IP和MAC地址。随后Linux.BackDoor.Fgt.1试图与其地址“嵌在”木马体内的指令服务器建立连接,并将恶意程序版本信息发送到服务器上。等待响应,接收到数据块是在需在被感染设备执行的指令。如果控制服务器发来的指令是PING,木马会发送响应PONG,并继续在被感染设备上运行。在接到DUP指令后Linux.BackDoor.Fgt.1结束运行。

该木马根据不法分子的指令启动运行周期,利用特殊功能在一个运行周期内对随机选择的256个远程IP地址进行扫描。在IP地址生成过程中Linux.BackDoor.Fgt.1检查其是否在局域网内编址范围,并忽略在此范围内的地址。 如果未能成功建立连接,Linux.BackDoor.Fgt.1会将相关信息发送到不法分子的控制服务器上。如果已建立连接,恶意程序会试图连接到Telnet服务使用的远程节点端口,并从被攻击的机器上获取登录请求。将事先生成的列表中的登录名发送到远程节点后,Linux.BackDoor.Fgt.1会分析发回的响应。如果其中带有输入密码的请求,木马会依次输入列表中的密码以试图登录。如登录成功,Linux.BackDoor.Fgt.1会将成功获取其验证数据的设备的IP地址、登录名和密码发送到控制服务器上,并向被攻击节点发送下载专门脚本的指令。被攻击的节点从互联网下载Linux.BackDoor.Fgt.1木马的可执行文件并在被入侵的系统启动。值得注意的是,病毒编写者的服务器上存有大量Linux.BackDoor.Fgt.1可执行文件,分别针对各种Linux版本,包括MIPS嵌入式系统和用于SPARC服务器的系统。因此,木马不仅能够感染连接互联网的Linux服务器和工作站,还能够感染诸如路由器等其他设备。

Linux.BackDoor.Fgt.1能够执行一系列不法分子指令,如:

  • 查询被感染设备的IP地址;
  • 启动或终止扫描进程;
  • 针对DNS Amplification节点组织攻击;
  • 针对UDP Flood节点组织攻击;
  • 针对SYN Flood节点组织攻击;
  • 中止DDoS攻击;
  • 结束木马运行。

Linux.BackDoor.Fgt.1木马程序记录已被添加到Dr.Web病毒库中,可侦测并删除此威胁。因此使用Doctor Web公司OS Linux产品的用户不必担忧,您所使用的操作系统处于可靠保护之下,此木马无法入侵。

俄罗斯Dr.Web反病毒产品研发厂商

研发始自1992年

Dr.Web产品用户遍布世界200多个国家

2007年起提供反病毒服务

全天支持

© Doctor Web
2003 — 2018

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。

天津市经济技术开发区第四大街80号软件大厦北楼112