俄罗斯安全公司Doctor Web的安全研究人员已经发现一款新型Linux后门，称为“Linux.BackDoor.FakeFile.1（Linux后门FakeFile.1）”，目前已被用于实时攻击。

该安全公司持续观察发现，越来越多的恶意软件被设计用于针对Linux计算机系统，更准确地说是针对桌面系统而非服务器。

Linux像任何其他的操作系统一样，可以被恶意代码感染，这些恶意代码主要设计用来攻击主机并获取其控制权。而Linux架构随处可见，攻击者很容易发现暴露在互联网上的Linux服务器漏洞。

对于网络犯罪分子而言，集中精力对付Linux系统是非常正常的行为。Linux恶意软件是威胁环境的自然进化，因为Linux操作系统是数据中心、云基础设施企业以及应用程序服务器的首选平台。此外，Linux系统也是Android设备和其他许多嵌入式系统的核心。

Linux.BackDoor.FakeFile.1木马攻击详情

发现用于实战的最新木马就是“ Linux.BackDoor.FakeFile.1”，由俄罗斯杀毒软件供应商Doctor Web于今年10月发现。该公司的恶意软件分析师们表示，该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。

感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME>/.gconf/apps/gnome-common/gnome-common"并借此开始运作，而后打开一个诱饵文档以伪造正常操作结果，这也是其名称“FakeFile”的由来。

该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中，这意味着其能够在PC重启时自动被加入引导。

奇怪的是，该木马的源代码中存在一条特殊的规则，即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于，恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测，且目前此理论无法进行验证。

一旦初步操作完成，真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器，旨在请求进一步指令。

根据该木马源代码中发现的线索，“Linux.BackDoor.FakeFile.1”具有如下功能：

1. 将某一文件或者文件夹的全部内容发送至命令与控制（C&C）服务器；
2. 将指定文件夹内的内容列表发送至命令与控制（C&C）服务器；
3. 删除目录；
4. 对文件进行重命名或者删除；
5. 创建新的文件与文件夹；
6. 关闭当前会话；
7. 建立反向连接（backconnect）并运行shell命令；
8. 终止反向连接（backconnect）；
9. 面向必要文件及文件夹获取或者设定权限；
10. 关闭程序文件；
11. 将自身从受感染主机内移除；
12. 终止后门操作等。

最令人担忧的事实在于，“Linux.BackDoor.FakeFile.1”并不需要root访问权限即可执行上述操作——具体来讲，其只需要当前用户权限即可顺利完成任务。

过去一年以来，针对Linux平台的木马数量开始显著增加，但在多数情况下，其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。

安全厂商很少遇到针对Linux桌面环境的木马。DoctorWeb公司也没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大，因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。