恶意软件开发者们开始将矛头指向Linux计算机,更准确地说是针对桌面系统而非服务器。此次其利用的新木马名为FakeFile,目前已经被应用于实时攻击。
安全公司于今年十月发现了这一全新木马。该公司的恶意软件分析师们表示,该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。
木马并不针对各openSUSE发行版
感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME >/.gconf/apps/gnome-common/gnome-common"并借此开始运作,而后打开一个诱饵文档以伪造正常操作结果,这也是其名称“FakeFile”的由来。
该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中,这意味着其能够在PC重启时自动被加入引导。
奇怪的是,该木马的源代码中存在一条特殊的规则,即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于,恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测,且目前此理论无法进行验证。
FakeFile是一种完全成熟的后门木马
一旦初步操作完成,真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器,旨在请求进一步指令。
根据该木马源代码中发现的线索,这一木马能够执行一系列操作,包括对文件进行重命名或者删除、将某一文件或者文件夹的全部内容发送至命令与控制服务器、将某文件夹内的文件清单发送至命令与控制服务器,或者创建新的文件与文件夹。
另外,该木马还能够运行文件、运行shell命令、面向必要文件及文件夹获取或者设定权限、终止其进程或者将自身从受感染主机内移除。
FakeFile 并不需要root访问权限
最令人担忧的事实在于,FakeFile并不需要root访问权限即可执行上述操作——具体来讲,其只需要当前用户权限即可顺利完成任务。
过去一年以来,针对Linux平台的木马数量开始显著增加,但在多数情况下,其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。
安全厂商很少遇到针对Linux桌面环境的木马。截至目前,安全公司亦没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大,因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。
安全公司于今年十月发现了这一全新木马。该公司的恶意软件分析师们表示,该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。
木马并不针对各openSUSE发行版
感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME >/.gconf/apps/gnome-common/gnome-common"并借此开始运作,而后打开一个诱饵文档以伪造正常操作结果,这也是其名称“FakeFile”的由来。
该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中,这意味着其能够在PC重启时自动被加入引导。
奇怪的是,该木马的源代码中存在一条特殊的规则,即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于,恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测,且目前此理论无法进行验证。
FakeFile是一种完全成熟的后门木马
一旦初步操作完成,真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器,旨在请求进一步指令。
根据该木马源代码中发现的线索,这一木马能够执行一系列操作,包括对文件进行重命名或者删除、将某一文件或者文件夹的全部内容发送至命令与控制服务器、将某文件夹内的文件清单发送至命令与控制服务器,或者创建新的文件与文件夹。
另外,该木马还能够运行文件、运行shell命令、面向必要文件及文件夹获取或者设定权限、终止其进程或者将自身从受感染主机内移除。
FakeFile 并不需要root访问权限
最令人担忧的事实在于,FakeFile并不需要root访问权限即可执行上述操作——具体来讲,其只需要当前用户权限即可顺利完成任务。
过去一年以来,针对Linux平台的木马数量开始显著增加,但在多数情况下,其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。
安全厂商很少遇到针对Linux桌面环境的木马。截至目前,安全公司亦没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大,因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。
还没有评论,来说两句吧...