Linux.Znaich DDOS Trojan分析：破壳与攻击行为

本文档是安天安全研究与应急处理中心(AntiyCERT)关于Linux平台上的恶意软件Trojan[DDOS]/Linux.Znaich的分析笔记。在2015年1月，研究人员注意到一种针对Linux系统的活跃木马活动。样本被发现存在“破壳”漏洞，即恶意代码通过某种手段逃避了最初的检测或限制。 样本运行后，它首先执行了一系列动作，如弹出帮助信息，并试图删除临时目录下的文件。接着，它下载并执行一个名为"Run.sh"的脚本，可能用于进一步的恶意操作。值得注意的是，样本中的攻击代码与之前提到的XOR.DDoS样本不一致，尽管两者在时间上有重叠，但被认为属于不同的恶意行为家族。 MalwareMustDie的报告显示，该样本中包含特定的攻击代码，这与他们之前发布的报告相吻合。这表明攻击者可能采用了已知的技术和策略，但通过对样本的深入分析，确认了这不是一个全新的威胁，而是之前已存在的XOR.DDoS的变种。 该分析的重要性在于，它提醒了网络安全专家们对IoT僵尸网络持续威胁的关注，尤其是在Linux平台上的活动。由于样本的“破壳”行为，安全防护措施需要不断升级，以应对这类恶意软件的不断进化。此外，文档还提供了参考资料和关于安天实验室的版权信息，以及作者希望通过公开这份报告，促进对这一威胁的深入理解和研究。