近日，安天追影小組在整理網(wǎng)絡(luò)安全事件時，針對Linux平臺下名為Backdoor.Wirenet的木馬進行了簡要分析。該木馬以O(shè)pera、Firefox、Chrome和Chromium等跨平臺瀏覽器，以及Thunderbird、SeaMonkey和Pidgin等應(yīng)用的密碼為目標，意圖竊取用戶信息。Wirenet在Linux平臺下會自動復(fù)制至“~/WIFIADAPT”目錄，然后使用AES加密通道，連線至C&C服務(wù)器。

      安天追影小組，針對Backdoor木馬家族中MD5為9A0E765EECC5433AF3DC726206ECC56E的樣本進行了分析。該樣本的函數(shù)數(shù)量較多，大部分的字符串信息已經(jīng)被加密，其樣本在網(wǎng)絡(luò)傳輸過程中使用了AES加密。因此，樣本main函數(shù)執(zhí)行時首先進行了AES的初始化操作，通過進一步的分析，得出其使用的AES加密模式為CFB。其次,樣本main函數(shù)中還調(diào)用了一個InstallHost函數(shù)用于執(zhí)行自我安裝，同時在ReadSettings函數(shù)中包含了一些設(shè)置的重要信息。進入ReadSettings函數(shù)發(fā)現(xiàn)樣本的重要信息都采用RC4加密方式進行加密過，通過GDB動態(tài)調(diào)試可獲取到大量信息。如連接的服務(wù)器，密碼等，這些信息在InstallHost函數(shù)中被使用，而InstallHost函數(shù)中的Wirenet使用解密出的信息與服務(wù)器建立連接，并且在/.config/autostart中設(shè)置開機自啟動功能。另外樣本中還有一個重要的函數(shù)ProcessData，通過對ProcessData函數(shù)的調(diào)用關(guān)系可發(fā)現(xiàn)，該函數(shù)包含了大量功能，如遍歷文件夾、讀寫文件、獲取操作系統(tǒng)版本和用戶信息、鼠標監(jiān)控、開關(guān)機等，Wirenet基本具備了一個普通后門程序所具備的功能。除此之外，ProcessData函數(shù)中有GetGoogleChromePasswords、GetChromiumPasswords、FindMozillaLib等函數(shù)，在這些函數(shù)中，Wirenet會獲取各瀏覽器安裝目錄下的Passwords文件，并連接SQLite嘗試進行破解。

      隨著Linux操作系統(tǒng)的日益普遍，木馬程序也開始逐漸入侵Linux系統(tǒng)。安天提醒電腦使用者要提高安全意識，定時給電腦進行體檢，以確保在病毒入侵時及時發(fā)現(xiàn)并處理。在日常使用電腦工作時，可關(guān)閉不必要的服務(wù)。對于對外公開的服務(wù)，需要及時關(guān)注相應(yīng)服務(wù)器軟件的bug信息，并及時把軟件升級到穩(wěn)定版本。養(yǎng)成良好的備份數(shù)據(jù)習(xí)慣，當機器遭到攻擊，數(shù)據(jù)不至丟失殆盡。