ESET公司的研究人員發(fā)現了一個惡意軟件家族，其攻擊目標是運行Linux和FreeBSD的操作系統。

這種惡意軟件被稱為“大聲bb”(Mumblehard)，其會幫助攻擊者創(chuàng)造后門，以提供被攻擊系統的控制權。根據ESET的說法，該惡意軟件的歷史至少可以追溯到2009年，并且內含一個用于發(fā)送垃圾短信的模塊。

[[133208]]

這個惡意軟件的組件基本上都是Prel腳本，這部分代碼被加密封裝在ELF二進制文件中。在某些情況下，這些Perl腳本會和另一個ELF可執(zhí)行文件一起被Packer封裝起來，類似于另一種惡意軟件俄羅斯套娃。

ESET的研究者利用隧道技術研究了該惡意軟件的后門模塊，并收集了被感染服務器上的信息。在七個月的時間里，他們觀察到“大聲bb”查詢的8867個獨立的IP地址。在數量最高的一天，獨立IP地址查詢量達到了3292個。

這個惡意軟件家族中包含兩個組件：后門和騷擾保障。這兩個組件都是用Perl寫的，并用匯編語言寫的Packer封裝起來。使用匯編語言創(chuàng)建ELF二進制和混淆Perl源代碼的方式顯示了該惡意軟件家族的復雜性，這高于一般惡意軟件的平均水平。

對僵尸網絡進行的監(jiān)測表明，“大聲bb”的主要目的似乎是通過受感染設備的合法IP地址發(fā)送垃圾信息。

研究人員發(fā)現垃圾郵件活動和一家名為Yellsoft的公司有所關聯。這家公司銷售一種名為DirectMailer的郵件群發(fā)軟件。根據ESET的說法，它的樣本中硬編碼的幕后服務器IP地址均位于194.54.81.162到194.54.81.164之間。

如果檢查接下來的兩個IP地址，也就是194.54.81.165和194.54.81.166，就會發(fā)現這兩個地址都指向Yellsoft的域名服務器。 而且，yellsoft.net的網頁服務器就在194.54.81.166上。如果進一步檢查最后的五個IP地址，也就是162~166，它們都會返回 相同的NS和SOA記錄，盡管這些IP地址實際上屬于rx-name.com。這些證據有力地表明，這五個IP地址都托管在同一臺服務器上。

此外ESET還表示，DirectMailer的盜版版本會在受害設備上安裝后門。另一個可能的注入向量是通過Joomla和Wordpress的漏洞實現的。

受害者應該在他們服務器上的所有用戶間尋找未請求的Cronjob入口。

這是其后門使用的一種機制，用于每隔15分鐘將自身激活一次。該后門通常安裝在/tmp或/var/tmp目錄中。將tmp目錄改為noexec選項可以阻止后門開始運行。

原文地址：http://www.aqniu.com/threat-alert/7576.html