2014.11.25
木马Linux.BackDoor.Fgt.1在被感染设备启动后,会试图与一个Google服务器建立连接来上检查设备是否接通互联网,如成功建立连接,木马会确定被感染设备的IP和MAC地址。随后Linux.BackDoor.Fgt.1试图与其地址“嵌在”木马体内的指令服务器建立连接,并将恶意程序版本信息发送到服务器上。
该木马根据不法分子的指令启动运行周期,利用特殊功能在一个运行周期内对随机选择的256个远程IP地址进行扫描。在IP地址生成过程中Linux.BackDoor.Fgt.1检查其是否在局域网内编址范围,并忽略在此范围内的地址。 如果未能成功建立连接,Linux.BackDoor.Fgt.1会将相关信息发送到不法分子的控制服务器上。如果已建立连接,恶意程序会试图连接到Telnet服务使用的远程节点端口,并从被攻击的机器上获取登录请求。将事先生成的列表中的登录名发送到远程节点后,Linux.BackDoor.Fgt.1会分析发回的响应。如果其中带有输入密码的请求,木马会依次输入列表中的密码以试图登录。如登录成功,Linux.BackDoor.Fgt.1会将成功获取其验证数据的设备的IP地址、登录名和密码发送到控制服务器上,并向被攻击节点发送下载专门脚本的指令。被攻击的节点从互联网下载Linux.BackDoor.Fgt.1木马的可执行文件并在被入侵的系统启动。值得注意的是,病毒编写者的服务器上存有大量Linux.BackDoor.Fgt.1可执行文件,分别针对各种Linux版本,包括MIPS嵌入式系统和用于SPARC服务器的系统。因此,木马不仅能够感染连接互联网的Linux服务器和工作站,还能够感染诸如路由器等其他设备。
Linux.BackDoor.Fgt.1能够执行一系列不法分子指令,如:
- 查询被感染设备的IP地址;
- 启动或终止扫描进程;
- 针对DNS Amplification节点组织攻击;
- 针对UDP Flood节点组织攻击;
- 针对SYN Flood节点组织攻击;
- 中止DDoS攻击;
- 结束木马运行。
Linux.BackDoor.Fgt.1木马程序记录已被添加到Dr.Web病毒库中,可侦测并删除此威胁。因此使用Doctor Web公司OS Linux产品的用户不必担忧,您所使用的操作系统处于可靠保护之下,此木马无法入侵。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments