一种新的多用途Linux木马在目标设备上开启了一个后门并且可用于DDoS攻击,这是由Dr. Web发现并分析的。他们认为来自中国的ChinaZ黑客组织是幕后黑手。这一恶意软件名为Xnote。 攻击者成功实施一次暴力攻击并与目标设备建立SSL连接之后,Xnote会在目标设备上进行传播。 Xnote首先会检测设备上是否已在运行一款相同恶意软件的拷贝,如果已经运行,木马会退出。Xnote通过自我复制并删除原来的启动文件进行隐藏,随后它会添加每次在设备重启后会自动启动的脚本保持其持续性。 这个后门包含一个控制服务器列表,后门会挨个跟这些服务器联系。一旦与其中的一个服务器建立连接,信息就会在它们之间以压缩包的形式交换。 研究人员指出,“首先,Linux.BackDoor.Xnote.1会将被感染系统的信息发送至服务器。随后它会进入待机模式并等待进一步的指示。如果命令能够执行一些任务,这个后门便会创建一个单独的进程来建立与服务器的连接,这样后门会获取所有必需的配置信息并发送执行任务的结果”,“当Linux.BackDoor.Xnote.1被命令这样做的时候,它会将一个独特的ID分配给一个被感染机器,在有具体地址的远程主机上发动DDoS攻击(它可增加SYN Flood、UDP Flood、HTTP Flood以及NTP Amplification攻击)、阻止攻击、更新可执行文件、将数据写入文件或者自行删除。” Xnote同时可以创建、重命名、运行并删除文件,并接收更多来自命令及控制服务器的文件。它可以创建并删除目录、在特定的目录中创建文件列表及目录,并将目录大小的数据发送至服务器。 “另外,这个后门可运行带有特定环境变量的shell,并且为命令及控制服务器访问shell的权限,在一个受感染计算机上开启SOCKS代理,或者启动自己的映射服务器实现。”研究人员指出。 需要知道的是,只有在获得root权限并且启动Xnote之后,Xnote才会被安装在目标设备上。 修复建议 微软Windows OS: 1. 如果可加载操作系统(不管是正常模式还是安全模式),下载修复工具Dr.Web CureIT,且对电脑以及可删除媒体进行完整扫描。 2. 如果无法加载操作系统,更改BIOS设置,从CD或者USB驱动加载系统。下载备用系统修复盘Dr.Web® LiveDisk或者Dr.Web® LiveDisk将工具记录之一个USB驱动并准备相关媒体。启动媒体后,运行完整扫描并修复发现的威胁。 3. 如果你的操作系统被Trojan.Winlock恶意软件家族锁定,可使用Dr. Web的解锁服务。如果未找到解锁代码,请参照第二部分的指导说明。 Linux 1. 在加载的操作系统上,利用Dr.Web Anti-virus for Linux对所有磁盘分区进行完整扫描。 Mac OS X: 利用免费的Dr. Web Light Scanner for Mac OS X对系统进行完整扫描。可从Apple AppStore上下载。 安卓 1. 如果移动设备可正常运行,下载并安装免费的杀毒软件Dr. Web for Android Light。对系统进行完整扫描,并执行移除所有检测出的威胁建议。 2. 如果这个移动设备已被Android.Locker勒索软件锁定(屏幕会提示你违反了某些法律或者要求支付赎金;或者你会看到一些其它的公告阻止你正常使用手持设备),采取以下措施: 以安全模式启动你的智能手机或平板(取决于操作系统版本以及特定移动设备的规范,这一程序可以以多种方式执行;从设备携带的用户指南或联系制造商获取详细信息); 一旦激活安全模式,在受感染的手机上安装杀毒Dr. Web for Android Light,消灭已发现的威胁; 关闭设备并在下一次启动时设置为正常模式。 |