Linux“盖茨木马”分析

对Linux.BackDoor.Gates.6的一个病毒样本进行了分析，通过调查发现Linux盖茨木马是一类有着丰富历史，隐藏手法巧妙，网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程，同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。

此类Linux木马主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中，大量使用Gates这个单词。从网上公开资料可以看出，盖茨木马主要针对中国地区的服务器进行DDoS攻击，有95%的攻击目标都在中国，排名第二的是美国。接下来会对盖茨病毒的一个分支样本，进行更为细致的静态分析和动态分析。

在静态分析中，首先会对文件类型进行判断，在Linux环境下，file工具[1]能够对ELF类型进行初步的判断。例如下表中，通过文件信息，能够得出该样本是32位ELF可执行程序，运行于IntelCPU上，静态链接。更重要的一个信息是，该样本没有除去符号表，这就为后续的逆向分析提供了丰富的调试信息。