<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("Rekoobe,Linux,恶意软件") PageTitle=stripHTML("Rekoobe:一款针对Linux的恶意软件") ArticleIntro=stripHTML("来自俄罗斯杀毒厂商Dr. Web的专家发现了Rekoobe,这是一款针对Linux系统的恶意软件。") Articlecontent=stripHTML("          Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构,之…") ModuleName = stripHTML("news") InfoID = stripHTML("219546") ChannelShortName=stripHTML("资讯") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("news") %> Rekoobe:一款针对Linux的恶意软件 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 资讯 >> 最新新闻 >> 正文

[图文]Rekoobe:一款针对Linux的恶意软件

2015/12/8 作者:Sphinx 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

       

  Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

  木马介绍

  专家解释称,Rekoobe木马本身十分简单,但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。

  “Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件,木马就会周期性地接收C&C服务器的命令。在特定情况下,与服务器的连接会经由代理。” Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块,每一块都被加密,并且含有自己的签名。”

  木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种:

/usr/lib/liboop-trl.so.0.0.0
/usr/lib/libhistory.so.5.7
/usr/lib/libsagented.so.1
/usr/lib/libXcurl
            /usr/lib/llib-llgrpc

  研究人员发现,Rebooke可以在受感染的系统中执行恶意的payload,进而完全控制目标主机。

  “Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”

  不幸的是,Rekoobe的作者已经把这款木马移植到了其他的操作系统,包括Android、Mac OS X和Windows。

  SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
            8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

  

  Linux恶意软件

  很多用户可能认为Linux系统能够免疫恶意软件,事实上,上个月就出现过针对Linux勒索软件Linux.Encoder.1,因此我们还是需要保持必要的警惕。