设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Xnote:针对Linux的新型恶意软件

2015-2-10 21:43| 发布者: 随便、先森。| 查看: 1437| 评论: 0|来自: 360安全播报

摘要: 一种新的多用途Linux木马在目标设备上开启了一个后门并且可用于DDoS攻击,这是由Dr. Web发现并分析的。他们认为来自中国的ChinaZ黑客组织是幕后黑手。这一恶意软件名为Xnote。攻击者成功实施一次暴力攻击并与目标设 ...

一种新的多用途Linux木马在目标设备上开启了一个后门并且可用于DDoS攻击,这是由Dr. Web发现并分析的。他们认为来自中国的ChinaZ黑客组织是幕后黑手。这一恶意软件名为Xnote。

攻击者成功实施一次暴力攻击并与目标设备建立SSL连接之后,Xnote会在目标设备上进行传播。

Xnote首先会检测设备上是否已在运行一款相同恶意软件的拷贝,如果已经运行,木马会退出。Xnote通过自我复制并删除原来的启动文件进行隐藏,随后它会添加每次在设备重启后会自动启动的脚本保持其持续性。

这个后门包含一个控制服务器列表,后门会挨个跟这些服务器联系。一旦与其中的一个服务器建立连接,信息就会在它们之间以压缩包的形式交换。

研究人员指出,“首先,Linux.BackDoor.Xnote.1会将被感染系统的信息发送至服务器。随后它会进入待机模式并等待进一步的指示。如果命令能够执行一些任务,这个后门便会创建一个单独的进程来建立与服务器的连接,这样后门会获取所有必需的配置信息并发送执行任务的结果”,“当Linux.BackDoor.Xnote.1被命令这样做的时候,它会将一个独特的ID分配给一个被感染机器,在有具体地址的远程主机上发动DDoS攻击(它可增加SYN Flood、UDP Flood、HTTP Flood以及NTP Amplification攻击)、阻止攻击、更新可执行文件、将数据写入文件或者自行删除。”

Xnote同时可以创建、重命名、运行并删除文件,并接收更多来自命令及控制服务器的文件。它可以创建并删除目录、在特定的目录中创建文件列表及目录,并将目录大小的数据发送至服务器。

“另外,这个后门可运行带有特定环境变量的shell,并且为命令及控制服务器访问shell的权限,在一个受感染计算机上开启SOCKS代理,或者启动自己的映射服务器实现。”研究人员指出。

需要知道的是,只有在获得root权限并且启动Xnote之后,Xnote才会被安装在目标设备上。

修复建议

微软Windows OS:

1.      如果可加载操作系统(不管是正常模式还是安全模式),下载修复工具Dr.Web CureIT,且对电脑以及可删除媒体进行完整扫描。

2.      如果无法加载操作系统,更改BIOS设置,从CD或者USB驱动加载系统。下载备用系统修复盘Dr.Web® LiveDisk或者Dr.Web® LiveDisk将工具记录之一个USB驱动并准备相关媒体。启动媒体后,运行完整扫描并修复发现的威胁。

3.      如果你的操作系统被Trojan.Winlock恶意软件家族锁定,可使用Dr. Web的解锁服务。如果未找到解锁代码,请参照第二部分的指导说明。

Linux

1.      在加载的操作系统上,利用Dr.Web Anti-virus for Linux对所有磁盘分区进行完整扫描。

Mac OS X:

利用免费的Dr. Web Light Scanner for Mac OS X对系统进行完整扫描。可从Apple AppStore上下载。

安卓

1.      如果移动设备可正常运行,下载并安装免费的杀毒软件Dr. Web for Android Light。对系统进行完整扫描,并执行移除所有检测出的威胁建议。

2.      如果这个移动设备已被Android.Locker勒索软件锁定(屏幕会提示你违反了某些法律或者要求支付赎金;或者你会看到一些其它的公告阻止你正常使用手持设备),采取以下措施:

以安全模式启动你的智能手机或平板(取决于操作系统版本以及特定移动设备的规范,这一程序可以以多种方式执行;从设备携带的用户指南或联系制造商获取详细信息);

一旦激活安全模式,在受感染的手机上安装杀毒Dr. Web for Android Light,消灭已发现的威胁;

关闭设备并在下一次启动时设置为正常模式。


原文链接:http://www.net-security.org/malware_news.php?id=2959


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部