安全专家日前警告称,一种新的更为危险且专门攻击Linux系统的远程控制病毒已出现,不过他们预计该恶意代码程序并不会得到广泛地传播。
安全专家的初步分析认为,新出现的smarter木马病毒是去年九月亮相的RST木马(远程Shell木马)的一个变种,它专门感染Linux系统上的程序文件。与最初的RST相比,新变种设计用来感染Linux ELF文件上的二进制文件,能够在受感染系统上创建一个后门程序,使得远程攻击者可以完全按制系统。
此最新变种是由安全管理提供商Qualys上月底最先获得病毒样本的,他们将该新木马病毒定名为RST.b,同时表示下周将会推出清除工具。
但专家指出,RST.b由于含有一个能够使受感染机器变成网络嗅探器的有效载荷,则显得比前辈危害更大。受感染机器成为嗅探器后,能够让病毒识别并打开一些通讯端口。安全专家Eschelbeck称:“嗅探器的功能就是允许后门程序监听来自任何类型的UDP端口的任何信息包,这似乎很有趣但更是十分危险的。”
不过,Qualys对此新病毒的发现有点不同于安全研究组织Lockdown。根据Lockdown的分析,此新病毒相对用户数据包协议(UDP)来讲更少的依靠外部网关协议(EGP)。他们称,该病毒存在于一个叫wargame box――专门进行黑客攻击实验的系统上。变种的RST 试图连接华盛顿、西雅图网站iGlobalSales.Com的服务器80端口,其意明显是要上传受染系统的Internet地址。
该病毒通过用户运行来自有根目录权限帐户上的受感染程序进行传播。一旦运行,受感染程序就试图将病毒传染给所有本地系统上的ELF文件。但是不像Windows病毒利用微软Outlook邮件程序中存在的漏洞,这个RST的新变种无法大范围的传播。 另外,尽管许多Linux用户并不安装杀毒软件,但他们却十分注重系统的安全,不会去打开邮件附件中的可执行文件。
然而,这并不等于该病毒无法传播开来,它会将病毒依附在一些有用的程序上,如有安全漏洞的工具软件上,病毒会诱使用户运行它。而且,恶意用户会将病毒上传至Linux的下载库中。若此新木马病毒上传到一个十分欢迎的下载站点上,情况会更糟糕。许多用户不仅下载了病毒的源代码,而且许多被感染的二进制文件也被下载了。
