Xnote：针对Linux的新型恶意软件

一种新的多用途Linux木马在目标设备上开启了一个后门并且可用于DDoS攻击，这是由Dr. Web发现并分析的。他们认为来自中国的ChinaZ黑客组织是幕后黑手。这一恶意软件名为Xnote。

攻击者成功实施一次暴力攻击并与目标设备建立SSL连接之后，Xnote会在目标设备上进行传播。

Xnote首先会检测设备上是否已在运行一款相同恶意软件的拷贝，如果已经运行，木马会退出。Xnote通过自我复制并删除原来的启动文件进行隐藏，随后它会添加每次在设备重启后会自动启动的脚本保持其持续性。

这个后门包含一个控制服务器列表，后门会挨个跟这些服务器联系。一旦与其中的一个服务器建立连接，信息就会在它们之间以压缩包的形式交换。

研究人员指出，“首先，Linux.BackDoor.Xnote.1会将被感染系统的信息发送至服务器。随后它会进入待机模式并等待进一步的指示。如果命令能够执行一些任务，这个后门便会创建一个单独的进程来建立与服务器的连接，这样后门会获取所有必需的配置信息并发送执行任务的结果”，“当Linux.BackDoor.Xnote.1被命令这样做的时候，它会将一个独特的ID分配给一个被感染机器，在有具体地址的远程主机上发动DDoS攻击（它可增加SYN Flood、UDP Flood、HTTP Flood以及NTP Amplification攻击）、阻止攻击、更新可执行文件、将数据写入文件或者自行删除。”

Xnote同时可以创建、重命名、运行并删除文件，并接收更多来自命令及控制服务器的文件。它可以创建并删除目录、在特定的目录中创建文件列表及目录，并将目录大小的数据发送至服务器。

“另外，这个后门可运行带有特定环境变量的shell，并且为命令及控制服务器访问shell的权限，在一个受感染计算机上开启SOCKS代理，或者启动自己的映射服务器实现。”研究人员指出。

需要知道的是，只有在获得root权限并且启动Xnote之后，Xnote才会被安装在目标设备上。

修复建议

微软Windows OS:

1.      如果可加载操作系统（不管是正常模式还是安全模式），下载修复工具Dr.Web CureIT，且对电脑以及可删除媒体进行完整扫描。

2.      如果无法加载操作系统，更改BIOS设置，从CD或者USB驱动加载系统。下载备用系统修复盘Dr.Web® LiveDisk或者Dr.Web® LiveDisk将工具记录之一个USB驱动并准备相关媒体。启动媒体后，运行完整扫描并修复发现的威胁。

3.      如果你的操作系统被Trojan.Winlock恶意软件家族锁定，可使用Dr. Web的解锁服务。如果未找到解锁代码，请参照第二部分的指导说明。

Linux

1.      在加载的操作系统上，利用Dr.Web Anti-virus for Linux对所有磁盘分区进行完整扫描。

Mac OS X:

利用免费的Dr. Web Light Scanner for Mac OS X对系统进行完整扫描。可从Apple AppStore上下载。

安卓

1.      如果移动设备可正常运行，下载并安装免费的杀毒软件Dr. Web for Android Light。对系统进行完整扫描，并执行移除所有检测出的威胁建议。

2.      如果这个移动设备已被Android.Locker勒索软件锁定（屏幕会提示你违反了某些法律或者要求支付赎金；或者你会看到一些其它的公告阻止你正常使用手持设备），采取以下措施：

以安全模式启动你的智能手机或平板（取决于操作系统版本以及特定移动设备的规范，这一程序可以以多种方式执行；从设备携带的用户指南或联系制造商获取详细信息）；

一旦激活安全模式，在受感染的手机上安装杀毒Dr. Web for Android Light，消灭已发现的威胁；

关闭设备并在下一次启动时设置为正常模式。

原文链接：http://www.net-security.org/malware_news.php?id=2959