Rekoobe是一款针对Linux操作系统的新型恶意软件,其被俄罗斯杀毒厂商Dr.Web的安全专家们首次发现。
Dr.Web在今年10月发现了这款木马,并在接下来的两个月进行了专业的分析。
Rekoobe最初被开发仅用于感染Linux的SPARC架构,后来它被升级便能感染在intel芯片上运行的Linux电脑,同时兼容23位和64位架构。
安全专家解释说Rekoobe木马非常的简单但同时也非常难以发现。这款恶意软件通过加密技术保护其配置文件,并能够与C&C服务器进行数据交互。
“Linux.Rekoobe.1使用加密的配置文件。一旦文件被读入,木马就定期从C&C服务器接收控制指令。在特定的情况下,木马到C&C服务器的连接是需要走代理的。”这在Dr.Web发表的一篇文章中被提到。“恶意软件从它的配置文件中提取授权数据。所有待发送和已接收的信息都会被分成单独的块。每个块都会被加密,并包含独有的签名。”
针对Rekoobe的分析表明它还能够用来向被感染主机发送恶意载荷,以此来获得目标主机的完全控制权。
“不过,Linux.Rekoobe.1只能执行三条命令:下载或上传文件、向Linux解释器发送接收到的命令以及将结果回送到远程服务器。这样,网络罪犯就能够与被感染的设备进行远程交互。”
不幸的是,Rekoobe的作者已经将其移植到其他操作系统,包括Android,Mac OS X和Windows。
尽管很多用户认为Linux系统能够免受恶意软件的侵扰,但最近还是发现了很多针对Linux系统的威胁,例如Linux.Encoder.1恶意软件。
附: Linux.Rekoobe.1分析报告http://vms.drweb.ru/virus/?i=7754026