ESET公司的研究人員發(fā)現(xiàn)了一個(gè)惡意軟件家族，其攻擊目標(biāo)是運(yùn)行Linux和FreeBSD的操作系統(tǒng)。

這種惡意軟件被稱(chēng)為“大聲bb”(Mumblehard)，其會(huì)幫助攻擊者創(chuàng)造后門(mén)，以提供被攻擊系統(tǒng)的控制權(quán)。根據(jù)ESET的說(shuō)法，該惡意軟件的歷史至少可以追溯到2009年，并且內(nèi)含一個(gè)用于發(fā)送垃圾短信的模塊。

[[133208]]

這個(gè)惡意軟件的組件基本上都是Prel腳本，這部分代碼被加密封裝在ELF二進(jìn)制文件中。在某些情況下，這些Perl腳本會(huì)和另一個(gè)ELF可執(zhí)行文件一起被Packer封裝起來(lái)，類(lèi)似于另一種惡意軟件俄羅斯套娃。

ESET的研究者利用隧道技術(shù)研究了該惡意軟件的后門(mén)模塊，并收集了被感染服務(wù)器上的信息。在七個(gè)月的時(shí)間里，他們觀察到“大聲bb”查詢(xún)的8867個(gè)獨(dú)立的IP地址。在數(shù)量最高的一天，獨(dú)立IP地址查詢(xún)量達(dá)到了3292個(gè)。

這個(gè)惡意軟件家族中包含兩個(gè)組件：后門(mén)和騷擾保障。這兩個(gè)組件都是用Perl寫(xiě)的，并用匯編語(yǔ)言寫(xiě)的Packer封裝起來(lái)。使用匯編語(yǔ)言創(chuàng)建ELF二進(jìn)制和混淆Perl源代碼的方式顯示了該惡意軟件家族的復(fù)雜性，這高于一般惡意軟件的平均水平。

對(duì)僵尸網(wǎng)絡(luò)進(jìn)行的監(jiān)測(cè)表明，“大聲bb”的主要目的似乎是通過(guò)受感染設(shè)備的合法IP地址發(fā)送垃圾信息。

研究人員發(fā)現(xiàn)垃圾郵件活動(dòng)和一家名為Yellsoft的公司有所關(guān)聯(lián)。這家公司銷(xiāo)售一種名為DirectMailer的郵件群發(fā)軟件。根據(jù)ESET的說(shuō)法，它的樣本中硬編碼的幕后服務(wù)器IP地址均位于194.54.81.162到194.54.81.164之間。

如果檢查接下來(lái)的兩個(gè)IP地址，也就是194.54.81.165和194.54.81.166，就會(huì)發(fā)現(xiàn)這兩個(gè)地址都指向Yellsoft的域名服務(wù)器。 而且，yellsoft.net的網(wǎng)頁(yè)服務(wù)器就在194.54.81.166上。如果進(jìn)一步檢查最后的五個(gè)IP地址，也就是162~166，它們都會(huì)返回 相同的NS和SOA記錄，盡管這些IP地址實(shí)際上屬于rx-name.com。這些證據(jù)有力地表明，這五個(gè)IP地址都托管在同一臺(tái)服務(wù)器上。

此外ESET還表示，DirectMailer的盜版版本會(huì)在受害設(shè)備上安裝后門(mén)。另一個(gè)可能的注入向量是通過(guò)Joomla和Wordpress的漏洞實(shí)現(xiàn)的。

受害者應(yīng)該在他們服務(wù)器上的所有用戶(hù)間尋找未請(qǐng)求的Cronjob入口。

這是其后門(mén)使用的一種機(jī)制，用于每隔15分鐘將自身激活一次。該后門(mén)通常安裝在/tmp或/var/tmp目錄中。將tmp目錄改為noexec選項(xiàng)可以阻止后門(mén)開(kāi)始運(yùn)行。

原文地址：http://www.aqniu.com/threat-alert/7576.html