新闻链接：http://bobao.360.cn/news/detail/1220.html
   新闻时间：2015-02-10
   新闻正文： 一种新的多用途Linux木马在目标设备上开启了一个后门并且可用于DDoS攻击，这是由Dr. Web发现并分析的。他们认为来自中国的ChinaZ黑客组织是幕后黑手。这一恶意软件名为Xnote。

攻击者成功实施一次暴力攻击并与目标设备建立SSL连接之后，Xnote会在目标设备上进行传播。

Xnote首先会检测设备上是否已在运行一款相同恶意软件的拷贝，如果已经运行，木马会退出。Xnote通过自我复制并删除原来的启动文件进行隐藏，随后它会添加每次在设备重启后会自动启动的脚本保持其持续性。

这个后门包含一个控制服务器列表，后门会挨个跟这些服务器联系。一旦与其中的一个服务器建立连接，信息就会在它们之间以压缩包的形式交换。

研究人员指出，“首先，Linux.BackDoor.Xnote.1会将被感染系统的信息发送至服务器。随后它会进入待机模式并等待进一步的指示。如果命令能够执行一些任务，这个后门便会创建一个单独的进程来建立与服务器的连接，这样后门会获取所有必需的配置信息并发送执行任务的结果”，“当Linux.BackDoor.Xnote.1被命令这样做的时候，它会将一个独特的ID分配给一个被感染机器，在有具体地址的远程主机上发动DDoS攻击（它可增加SYN Flood、UDP Flood、HTTP Flood以及NTP Amplification攻击）、阻止攻击、更新可执行文件、将数据写入文件或者自行删除。”

Xnote同时可以创建、重命名、运行并删除文件，并接收更多来自命令及控制服务器的文件。它可以创建并删除目录、在特定的目录中创建文件列表及目录，并将目录大小的数据发送至服务器。

“另外，这个后门可运行带有特定环境变量的shell，并且为命令及控制服务器访问shell的权限，在一个受感染计算机上开启SOCKS代理，或者启动自己的映射服务器实现。”研究人员指出。

需要知道的是，只有在获得root权限并且启动Xnote之后，Xnote才会被安装在目标设备上。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课