Linux 用戶又有一個木馬需要苦惱了，就像以往一樣，這些壞蛋大多部署在被劫持的 Linux 系統(tǒng)上，并在接受到命令后發(fā)起 DDoS 攻擊。

發(fā)現(xiàn)了這件事的 Dr.Web 的安全研究人員說，木馬似乎是通過破殼漏洞Shellshock感染的這些 Linux 機器——現(xiàn)在仍然有很多設備沒有補上這個漏洞。

該木馬被命名為 Linux.DDoS.93，它首要會修改 /var/run/dhcpclient-eth0.pid 這個文件，并通過它在計算機啟動時運行。如果該文件不存在，就會自己創(chuàng)建一個。

當該木馬運行起來以后會進行初始化，它會啟動兩個進程，一個用于與 C&C (控制)服務器通訊，另外一個用于確保木馬的父進程一直運行。

該木馬啟動 25 個子進程進行 DDoS 攻擊

當控制該木馬網絡的攻擊者發(fā)起攻擊命令時，這個木馬會啟動 25 個子進程來進行 DDoS 攻擊。

當前，該木馬可以發(fā)出 UDP 洪泛(針對隨機或特定端口)，TCP 洪泛(簡單的包，或給每個包隨機增加至多 4096 字節(jié)的數據)和 HTTP 洪泛(通過 POST、GET 或 HEAD 請求)。

而且，該木馬還能自我更新、自我刪除、終止自己的進程、ping、從 C&C 服務器下載和運行文件。

當它發(fā)現(xiàn)某些名字時會關閉

這個木馬還包括一個功能，如果在掃描計算機內存并列出活動的進程時發(fā)現(xiàn)如下字符串會關閉自己：

privmsg

getlocalip

kaiten

brian krebs

botnet

bitcoin mine

litecoin mine

rootkit

keylogger

ddosing

nulling

hackforums

skiddie

script kiddie

blackhat

whitehat

greyhat

grayhat

doxing

malware

bootkit

ransomware

spyware

botkiller

這些字符串大多數與信息安全領域有關，似乎是為了防止安全研究人員的反向工程研究，或者是為了避免感染該惡意軟件作者自己的機器。

在感染過程中，該木馬也會掃描它的舊版本，并會關閉舊版本然后安裝一個新的。這意味著這是一個自動更新系統(tǒng)，該木馬的最新版本總是會出現(xiàn)在被感染的機器上。

Linux 是過去一個月以來最熱門的木馬攻擊平臺，在最近 30 天內，安全研究人員已經發(fā)現(xiàn)、分析和曝光了其它五個 Linux 木馬：Rex、PNScan、Mirai、 LuaBot和 Linux.BackDoor.Irc。