近日，安天 CERT（安全研究與應急 處理中心）在梳理網(wǎng)絡安全事件時發(fā)現(xiàn)一 例 Linux 平臺的具有 DDoS 功能的木馬樣 本，該木馬會在 Linux 系統(tǒng)中添加自身為 啟動項，并開啟后門線程，守護線程，遠 程下載線程等惡意行為。

     木馬啟動后，首先將其工作目錄寫進 環(huán)境變量，之后將加密的工作路徑和需要 用的 linux 命令通過異或解密。然后對比 參數(shù)數(shù)值，如果參數(shù)數(shù)值等于 2 則刪除文 件并從開機啟動項中剔除。如果參數(shù)等于 3 則向自身數(shù)據(jù)末端加入一串隨機的字符 串以改變 md5 值，之后分別復制到 /usr/bin、/bin、/tmp 目 錄 下 并 執(zhí) 行。 然 后 確 定自己是否在指定的工作目錄下，如果不 是則繼續(xù)改變 MD5 值，分別復制到 /usr/ bin、/bin、/tmp 目錄下并執(zhí)行。接著將自 身添加為開啟啟動項并寫入環(huán)境變量。然 后開啟守護線程，后門線程，遠程下載線 程。后門線程先進行 DNS 請求，之后將 主機的內(nèi)存、cpu 等信息加密傳送給 C&C 服務器，循環(huán)運行且從另一個域名通過 GET 請求下載文件并執(zhí)行。最后循環(huán)執(zhí)行 以 下 操 作： 復 制 到 /usr/bin、/bin、/tmp 目錄，運行、刪除文件，保證不被輕易刪 除并等待接收控制端指令，惡意樣本可構造 UDP、TCP ACK、TCP SYN 報文，用 于發(fā)起 DDoS 攻擊。

     安天 CERT 提醒廣大網(wǎng)絡使用者， 要提高網(wǎng)絡安全意識，在日常工作中要及 時進行系統(tǒng)更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發(fā)郵件時要確認收發(fā)來源是否可 靠，更加不要隨意點擊或者復制郵件中的 網(wǎng)址，不要輕易下載來源不明的附件，發(fā) 現(xiàn)網(wǎng)絡異常要提高警惕并及時采取應對措 施，養(yǎng)成及時更新操作系統(tǒng)和軟件應用的 好習慣。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了 對該類木馬樣本的檢出。