近日，經過安天追影小組對Trojan[DDoS]/Linux.Mayday家族的分析監控，獲知該家族的最近兩次攻擊活躍時間，并監控到Mayday家族參與了2016年10月的Dyn攻擊。該家族樣本最早版本在2013年末就已經出現，到現在已經衍生8個版本。開始從樣本硬編碼IP類型的C2，過渡到通過域名查詢獲取動態C2的IP。

      盡管Mayday家族的版本一直在衍生和完善，但其通信協議等基本框架并沒有變，DDoS攻擊類型也基本沒有變化，主要包括：dns flood，tcp flood，udp flood，cc flood，icmp flood這幾種攻擊方式。通過對Mayday家族樣本分析比較，發現雖然樣本在常駐“肉雞”——樣本備份和自啟動方面仍有完善的空間，但是樣本的模塊封裝十分完善，條理清晰，這也是家族版本能快速衍生的原因之一。其中主要封裝的CTaskInfo（指令任務處理)模塊（類），CManager（消息處理)模塊,CNetBase(網絡處理)模塊，CServerIP（與CNC數據交互）模塊，CStatBase（狀態信息-或許系統版本配置等信息）模塊。

      通過長期監控獲知，Mayday家族的僵尸網絡控制節點主要分布于國內，也有相當一部分分布于美國，而國內的主要分布于東部沿海的省份，集中于蘇浙兩省。Mayday DDoS在近兩個月中，相對比較活躍的周期為9月中旬-10月上旬、11月5日-11月10日，兩個周期中都有5W+ 次攻擊目標。其中11月5日-11月10日是一個井噴式爆發期，每天有20W+ 次攻擊目標，發動攻擊控制節點主要分布于美國，且攻擊目標也集中于美國。在Mayday DDoS沉默期間，還監控到Mayday DDoS也參與10月下旬對美國Dyn的DDoS攻擊，根據僵尸控制節點量預計攻擊流量貢獻達80G+。

      Mayday發展至今已是Linux x86僵尸網絡的常見家族，該家族的出現并快速遍布于互聯網，嚴重影響互聯網的安全健康發展，損壞了廣大網民安全利益，損耗互聯網及設備資源。經過安天追影小組的長期監控與跟蹤，從目前掌握的情況看，Mayday家族目前還沒有樣本備份和自啟動，因此，如果計算機被植入Mayday家族只需要刪除樣本并重新啟動即可。