该木马被命名为 Linux.DDoS.93，它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件，并通过它在计算机启动时运行。如果该文件不存在，就会自己创建一个。当该木马运行起来以后会进行初始化，它会启动两个进程，一个用于与 C&C （控制）服务器通讯，另外一个用于确保木马的父进程一直运行。

当控制该木马网络的攻击者发起攻击命令时，这个木马会启动 25 个子进程来进行 DDoS 攻击。当前该木马可以发出 UDP 洪泛（针对随机或特定端口），TCP 洪泛（简单的包，或给每个包随机增加至多 4096 字节的数据）和 HTTP 洪泛（通过 POST、GET 或 HEAD 请求）。而且，该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。

这个木马还包括一个功能，如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己：

1. privmsg
2. getlocalip
3. kaiten
4. brian krebs
5. botnet
6. bitcoin mine
7. litecoin mine
8. rootkit
9. keylogger
10. ddosing
11. nulling
12. hackforums
13. skiddie
14. script kiddie
15. blackhat
16. whitehat
17. greyhat
18. grayhat
19. doxing
20. malware
21. bootkit
22. ransomware
23. spyware
24. botkiller

这些字符串大多数与信息安全领域有关，似乎是为了防止安全研究人员的反向工程研究，或者是为了避免感染该恶意软件作者自己的机器。在感染过程中，该木马也会扫描它的旧版本，并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统，该木马的最新版本总是会出现在被感染的机器上。

Linux是过去一个月以来最热门的木马攻击平台，在最近 30 天内，安全研究人员已经发现、分析和曝光了其它五个 Linux 木马： Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。

原文来自：https://linux.cn/article-7782-1.html

本文地址：https://www.linuxprobe.com/linux-6th-ddos-virus.html编辑：张宏宇，审核员：苏西云

本文原创地址：https://www.linuxprobe.com/linux-6th-ddos-virus.html编辑：清蒸github，审核员：暂无