0x1 前言
在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控木马,该木马只针对文件信息窃取与相应的删除,修改等操作,程序的每一部分都是为该功能服务,结构十分清晰。下图显示的是木马程序的简要运行流程。
图1 工作流程
0x2 样本分析
样本在执行主要功能之前会判断当前用户,同时判断当前程序路径是否为指定的路径,只有当程序所在路径为指定的路径时才执行主要功能。
图2 判断当前用户
程序指定的自身路径为/home/username/.gconf/apps/gnome-common/gnome-common,若当前进程路径不符合,则会复制自身到该路径下。