欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶意软件转向使用Linux和BSD系统做垃圾邮件发送器

来源:本站整理 作者:佚名 时间:2015-05-05 TAG: 我要投稿

 ESET的研究人员发现,在过去五年,有个人或者黑客组织研发了一个后门木马,并且通过该木马入侵了大量的Linux和BSD的服务器,并且通过这些服务器发送了大量的垃圾邮件。

这些研究人员发现,大量的垃圾邮件都和一家叫做Yellsoft的公司有关。这家公司主要销售的是DirectMailer系统。这个系统可以自动发送一些电子邮件,但是关键的是这个系统有一个功能,可以设置发送的电子邮件为匿名邮件。

这个黑客事件之所以能够成功而且隐藏的那么久,主要是因为这个病毒的使用复杂程度十分的高。这个后门程序具有隐身性和持久性,而且攻击者又不经常攻击新的服务器,所以很难察觉到该病毒的存在。

研究人员开始了他们对这个病毒的调查。他们把这个病毒戏称为Mumblehard。分析后他们发现,该病毒由以下几个部分组成: 运用一个通用型的后门连接C&C服务器,之后会下载要发送的垃圾邮件,随后会开启代理。

研究人员发现,这个病毒经过了加密,并且使用ELF可执行文件,主要是用Perl来包装。研究人员马克 - 艾蒂安列维尔说:“这种复杂的加密十分罕见,这个perl脚本里面的ELF可执行文件被非常复杂的方式进行打包,这个病毒比起其他普通的病毒更有威胁感。”

研究人员尝试连接所有在病毒配置文件中所列的10个C&C服务器,随后他们还真的连接到一台控制主机。这样他们就能监视2014年9月19日和2015年4月22日之间受感染的主机。

“在调查的这段时间里,我们知道至少有8,867台服务器在那段时间受到感染,而且大多数的服务器都是用于托管网站的服务器” 列维尔说。“但是,我们可以看到,收到感染的主机正在慢慢减少”

这个病毒在C&C服务器并不是随时都给用户发送垃圾邮件。它会固定的发送几个小时,随后便停止发送。

DirectMailer是用Perl编写并运行在UNIX类型的系统。 “这个系统很像Mumblehard病毒”列维尔指出。

这个软件的售价是240美元,但有趣的是改软件的官方网站居然提供一个链接供人们下载破解版的DirectMailer系统。尽管该软件的开发商说他们不会提供任何破解版的DirectMailer系统,也不支持人们下载,但是他们的确提供了这么一个链接,这个实在是太奇怪了。

“你们为什么要在官网提供你们产品的盗版链接?”

列维尔被问道:“为什么你们的盗版产品会有Mumblehard后门插件?”

这些盗版的DirectMailer包含Mumblehard后门,当用户安装之后,后门就会启动,获得权限来发送一些电子邮件。

我不知道DirectMailer邮件系统含有多少后门,但是起码列维尔起码无法回答这个问题。

“我们不知道DirectMailer的付费版本是否也存在后门,但是我们没有这个付费版的软件,也不想从Yellsoft购买”这些研究人员说:“如果有人能给我们付费版本的样品,我们也会很乐意进行分析”

这些研究人员认为,Mumblehard也通过Joomla和WordPress的CMS漏洞攻破服务器,并且获得权限。后门通常安装在/ tmp或/ var / tmp目录,安装使用noexec选项tmp目录阻止从后门开始摆在首位

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载