Rekoobe:一款针对Linux的恶意软件

安全
Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

来自俄罗斯杀毒厂商Dr. Web的专家发现了Rekoobe,这是一款针对Linux系统的恶意软件。

Rekoobe:一款针对Linux的恶意软件

Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

木马介绍

专家解释称,Rekoobe木马本身十分简单,但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。

“Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件,木马就会周期性地接收C&C服务器的命令。在特定情况下,与服务器的连接会经由代理。” Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块,每一块都被加密,并且含有自己的签名。”

木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种:

/usr/lib/liboop-trl.so.0.0.0
/usr/lib/libhistory.so.5.7
/usr/lib/libsagented.so.1
/usr/lib/libXcurl
/usr/lib/llib-llgrpc

研究人员发现,Rebooke可以在受感染的系统中执行恶意的payload,进而完全控制目标主机。

“Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”

不幸的是,Rekoobe的作者已经把这款木马移植到了其他的操作系统,包括Android、Mac OS X和Windows。

SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

Linux恶意软件

很多用户可能认为Linux系统能够免疫恶意软件,事实上,上个月就出现过针对Linux勒索软件Linux.Encoder.1,因此我们还是需要保持必要的警惕。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-12-23 11:00:43

2010-03-03 14:05:41

Linux股票软件

2015-12-17 16:18:21

2021-07-22 16:05:33

恶意软件XLoaderMacOS

2023-10-10 07:08:42

2022-09-08 18:41:34

恶意软件ShikitegaLinux

2021-09-26 09:18:10

KnockOutloo安全工具红队

2020-04-22 08:00:00

Linux恶意软件应用软件

2009-12-24 13:49:20

Linux服务器集群

2015-10-05 17:38:33

2010-09-16 13:57:39

CSS hackIE6

2023-06-14 16:29:51

2023-08-02 19:45:31

2020-06-01 16:45:44

Linux终端Terminus

2015-12-03 10:51:16

2010-08-12 16:39:57

2009-05-11 15:12:03

网管软件产品摩卡软件

2021-02-02 09:12:13

恶意软件Android网络攻击

2020-07-06 10:29:21

Linux系统数据

2013-12-02 13:34:55

点赞
收藏

51CTO技术栈公众号