发现这件事的DW的安全研究人员说:“木马似乎是通过破壳漏洞感染的这些L机器——现在仍然有很多设备没有补上这个漏洞。”该木马被命为LDDS93,它首要会修改-0这个文件,并通过它在计算机启动时运行。如果该文件不存在,就会自己创建一个。Linux技术教程的相关资讯可以到我们网站了解一下,从专业角度出发为您解答相关问题,给您优质的服务!https://www.linuxprobe.com/linux
当该木马运行起来以后会进行初始化,它会启动两个进程,一个用于与CC(控制)服务器通讯,另外一个用于确保木马的父进程一直运行。
该木马启动25个子进程进行DDS攻击
当控制该木马络的攻击者发起攻击命令时,这个木马会启动25个子进程来进行DDS攻击。
当前,该木马可以发出UDP洪泛(针对随机或特定端口),TCP洪泛(简单的包,或给每个包随机增加至多4096字节的数据)和HTTP洪泛(通过 POST、GET或HEAD请求)。而且,该木马还能自我更新、自我删除、终止自己的进程、、从CC服务器下载和运行文件。
当它发现某些字时会关闭
这个木马还包括一个功能,如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己:
这些字符串大多数与信息安全领域有关,似乎是为了防止安全研究人员的反向工程研究,或者是为了避免感染该恶意软件作者自己的机器。
在感染过程中,该木马也会扫描它的旧版本,并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统,该木马的比较新版本总是会出现在被感染的机器上。
L是过去一个月以来比较热门的木马攻击平台,在比较近 30 天内,安全研究人员已经发现、分析和曝光了其它五个L木马: R、PNS、M、LB和LBDI。 |
