安全研究人員發(fā)現(xiàn)并分析了Winnti的Linux版本，由Alphabet的網(wǎng)絡(luò)安全部門Chronicle的安全研究人員發(fā)現(xiàn)，Winnti惡意軟件的Linux版本作為受感染主機(jī)的后門，允許非法訪問(wèn)受感染的系統(tǒng)。

Winnti惡意軟件(圖片來(lái)源：zdnet)

Chronicle說(shuō)，在上個(gè)月發(fā)布消息稱拜耳遭到黑客威脅后，發(fā)現(xiàn)了這種Linux版本，并且在其系統(tǒng)上發(fā)現(xiàn)了Winnti惡意軟件。

在其VirusTotal平臺(tái)上對(duì)Winnti惡意軟件進(jìn)行后續(xù)掃描期間，Chronicle表示它發(fā)現(xiàn)了似乎是Winnti的Linux版本，可追溯到2015年。

Chronicle說(shuō)他們發(fā)現(xiàn)的惡意軟件由兩部分組成。一個(gè)rootkit組件，用于隱藏受感染主機(jī)上的惡意軟件以及實(shí)際的后門木馬。

進(jìn)一步的分析揭示了Linux版本和Winnti 2.0 Windows版本之間的代碼相似性，如卡巴斯基實(shí)驗(yàn)室和Novetta的報(bào)告中所述。

與Windows版本的其他連接還包括Linux變體處理與命令和控制(C&C)服務(wù)器的出站通信的類似方式，Linux版本還擁有另一個(gè)與Windows版本不同的功能，即黑客能夠在不通過(guò)C&C服務(wù)器的情況下啟動(dòng)與受感染主機(jī)的連接。

“在對(duì)硬編碼控制服務(wù)器的訪問(wèn)受到干擾時(shí)，運(yùn)營(yíng)商可以使用這種輔助通信渠道，”Chronicle研究人員在上周發(fā)布的一份報(bào)告中表示。