发现这件事的Dr.Web的安全研究人员说：“木马似乎是通过破壳漏洞感染的这些Linux机器——现在仍然有很多设备没有补上这个漏洞。”该木马被命名为Linux.DDoS.93，它首要会修改/var/run/dhcpclient-eth0.pid这个文件，并通过它在计算机启动时运行。如果该文件不存在，就会自己创建一个。

当该木马运行起来以后会进行初始化，它会启动两个进程，一个用于与C&C（控制）服务器通讯，另外一个用于确保木马的父进程一直运行。

当控制该木马网络的攻击者发起攻击命令时，这个木马会启动25个子进程来进行DDoS攻击。

当前，该木马可以发出UDP洪泛（针对随机或特定端口），TCP洪泛（简单的包，或给每个包随机增加至多4096字节的数据）和HTTP洪泛（通过 POST、GET或HEAD请求）。而且，该木马还能自我更新、自我删除、终止自己的进程、ping、从C&C服务器下载和运行文件。

这个木马还包括一个功能，如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己：

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

这些字符串大多数与信息安全领域有关，似乎是为了防止安全研究人员的反向工程研究，或者是为了避免感染该恶意软件作者自己的机器。

在感染过程中，该木马也会扫描它的旧版本，并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统，该木马的最新版本总是会出现在被感染的机器上。

Linux是过去一个月以来最热门的木马攻击平台，在最近 30 天内，安全研究人员已经发现、分析和曝光了其它五个Linux木马： Rex、PNScan、Mirai、 LuaBot和Linux.BackDoor.Irc。

原文来自：https://linux.cn:443/article-7782-1.html

本文地址：https://www.linuxprobe.com/linux-ddos-trojan.html编辑员：郝大发，审核员：岳永

本文原创地址：https://www.linuxprobe.com/linux-ddos-trojan.html编辑：public，审核员：暂无