1. 概述

BillGates僵尸网络木马曾经是国内最流行的DDoS攻击病毒之一，被攻击者广泛使用，曾一度在DDoS病毒中占比高达32.33%。

近期，深信服EDR安全团队追踪到不少企业用户Linux服务器感染此病毒，BillGates僵尸网络依然较为活跃，提醒广大用户小心。

BillGates僵尸网络木马是一个感染性及隐蔽性极强的病毒，它会创建进程来进行C&C通信、病毒监控等操作，同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。

目前深信服终端检测响应平台（EDR3.2.8）内置Linux杀毒引擎支持检测、清除该病毒，深信服EDR用户可升级该版本进行防御。

2. 病毒架构

3. 病毒分析

判断父进程的文件路径，是否有“gdb”字样。看似是反调试操作，但这里v0在后续没有被引用。

这里使用的是edb，所以不会被检测到。

动态拼凑出字符串“DbSecuritySpt”和“selinux”，这两个文件后续被用来开机自启动病毒。

病毒开始会检查更新。

动态拼凑出病毒路径“/usr/bin/bsd-port”，该路径后续用来存放病毒。

通过病毒当前所在的路径来设置g_iGatesType的值，这个值用来指定病毒执行什么恶意操作。

各个路径调用的恶意函数的对应关系如下。

MainBeikong的功能为病毒自复制。

MainBackdoor的功能为将病毒注册为开机自启动。

MainMonitor的功能为监控病毒是否处于运行状态。

MainSystool的功能为过滤系统文件的输出。

MainBeikong

MainBackdoor

MainSystool

系统文件被替换，返回的结果被病毒劫持了。

MainMonitor

MainProcess

MainBeikong和MainBackdoor都会调用MainProcess与C&C服务器通信。

4. 解决方案

病毒清除分3步骤：① 杀死3个病毒进程 ② 清除病毒文件 ③ 恢复系统文件

① 杀死3个病毒进程

② 清除病毒文件

 · rm -rf /tmp/moni.lod /tmp/gates.lod

 · rm -rf  /etc/init.d/selinux  /etc/init.d/DbSecuritySpt

 · rm -rf  /etc/rc1.d/S97DbSecuritySpt  /etc/rc1.d/S99selinux

 · rm -rf  /etc/rc2.d/S97DbSecuritySpt  /etc/rc2.d/S99selinux

 · rm -rf  /etc/rc3.d/S97DbSecuritySpt  /etc/rc3.d/S99selinux

 · rm -rf  /etc/rc4.d/S97DbSecuritySpt  /etc/rc4.d/S99selinux

 · rm -rf  /etc/rc5.d/S97DbSecuritySpt  /etc/rc5.d/S99selinux

 · rm -rf  /usr/bin/bsd-port/  /tmp/pythompy

 · rm -rf  /usr/bin/lsof /bin/ps /bin/ss /bin/netstat

③ 恢复系统文件

 · mv /usr/bin/dpkgd/* /bin/

 · mv /bin/lsof /usr/bin

5. 相关IOC

MD5

5F580868011B6C0DEB8BDE8355630019

URL

www.id666.pw

IP

216.58.203.46:6001