近日，安天追影小組在進行網絡安全事件梳理時，關注到一個不需要root訪問權限就可以實現自身惡意操作的后門木馬。經分析，該木馬家族為FakeFile家族木馬，是一種針對桌面系統而非服務器的木馬家族，主要利用PDF、微軟Office或者OpenOffice文件進行傳播。FakeFile木馬主要功能是竊取被感染機器上的文件并上傳，并執行shell命令，會控制服務器（C&C）發送的回復包，同時，會偽裝成Windows平臺的http通信。

              .doc、.DOC、.xls、.XLS、.ppt、.PPT、.docx、.DOCX、.xlsx、.XLSX、.pptx、.PPTX、.odt、.ODT、.ods、.ODS、.odp、.ODP、.pdf、.PDF等。隨后，會與C&C服務器進行通信，接收指令。

      從FakeFile木馬家族的樣本分析中，可以發現該木馬具備對文件執行重命名、刪除、發送文件或文件夾的全部內容至命令與控制服務器、發送文件夾內的文件清單至命令與控制服務器、創建新的文件與文件夾等操作功能。同時，還會運行文件、運行shell命令、設置權限、終止其進程或者將自身從受感染主機內移除。

      在感染終端與C&C服務器通信中，感染終端會發送一個http GET請求的回復包。從回復包數據來看，其是偽裝成一個Windows平臺的瀏覽器訪問請求包，回復包的User-Agent數據：User-Agent:Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)。

      隨著Linux操作系統的日益普遍，惡意軟件開發者們開始將矛頭指向Linux計算機。不僅包括Linux服務器也針對桌面系統的計算機，并且Linux環境的惡意代碼也越來越注重隱秘性，從替換劫持系統啟動項中的隱藏文件，到其偽裝為Windows環境訪問瀏覽器的網絡通信行為，都是為隱藏自身。安天追影小組提醒各電腦使用者要提高安全意識，不要隨意打開未知的PDF、微軟Office或者OpenOffice等文件，注意對隱私文件的保護。