新闻链接：054K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3x3U0l9I4y4e0l9I4i4K6u0r3x3K6M7H3x3U0V1I4i4K6u0W2K9s2c8E0L8l9`.`.
新闻事件：2015-01-15
新闻正文：一种名为“XOR.DDoS”的新型木马出现，该木马能够感染32位和64位的Linux系统，通过安装rootkit来隐藏自身，并可通过DDoS攻击形成僵尸网络。

XOR.DDoS木马原理

杀毒软件公司Avast在它们的博客中解释了这种新的威胁，该木马可以根据目标Linux系统环境的不同来相应调整安装方式，并安装一个rootkit来躲避杀毒软件的检测。

黑客首先通过SSH暴力登录目标Linux系统，然后尝试获得根用户证书。如果成功，则通过一个shell脚本安装该木马，该shell脚本的功能主要包括：主程序、环境检测、编译、解压、安装等。该木马首先通过受害系统的内核头文件来进行兼容性检测，如果成功匹配则继续安装一个rootkit，以此来隐藏木马自身。

Avast公司病毒分析师Peter Kálnai在SCMagazine.com上说。

“rootkit隐藏了所有的恶意代码文件，所以受害者看不到这些文件。此外，它还隐藏了木马进程和其他的文件。”
影响范围

MalwareMustDie首先在2014年10月曝光了该木马。其中，没有修改Linux默认登录设置（用户名和密码）的系统是最脆弱的。此外，32位和64位的Linux Web服务器、台式机、ARM架构系统等也容易遭受该木马攻击。

对于Windows系统来说，类似的木马存在并不足为奇，但能够感染Linux系统的木马则很少听说。

“一般来说，在Linux系统中安装rootkit是比较困难的事情，因为只有它与受害者的操作系统版本完全匹配才能够成功安装。”
虽然到目前为止还没有多少受害者被报道出来，但是企业和个人用户都应该意识到该威胁的严重性。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！