该木马仅指向桌面系统，而非服务器或者物联网设备。

E安全10月22日讯 恶意软件开发者们开始将矛头指向Linux计算机，更准确地说是针对桌面系统而非服务器。此次其利用的新木马名为FakeFile，目前已经被应用于实时攻击。

俄罗斯杀毒软件供应商Dr. Web于今年十月发现了这一。该公司的恶意软件分析师们表示，该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。

木马并不针对各openSUSE发行版

感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME >/.gconf/apps/gnome-common/gnome-common"并借此开始运作，而后打开一个诱饵文档以伪造正常操作结果，这也是其名称“FakeFile”的由来。

该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中，这意味着其能够在PC重启时自动被加入引导。

奇怪的是，该木马的源代码中存在一条特殊的规则，即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于，恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测，且目前此理论无法进行验证。

FakeFile是一种完全成熟的后门木马

一旦初步操作完成，真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器，旨在请求进一步指令。

根据该木马源代码中发现的线索，这一木马能够执行一系列操作，包括对文件进行重命名或者删除、将某一文件或者文件夹的全部内容发送至命令与控制服务器、将某文件夹内的文件清单发送至命令与控制服务器，或者创建新的文件与文件夹。

另外，该木马还能够运行文件、运行shell命令、面向必要文件及文件夹获取或者设定权限、终止其进程或者将自身从受感染主机内移除。

FakeFile 并不需要root访问权限

最令人担忧的事实在于，FakeFile并不需要root访问权限即可执行上述操作——具体来讲，其只需要当前用户权限即可顺利完成任务。

过去一年以来，针对Linux平台的木马数量开始显著增加，但在多数情况下，其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。

安全厂商很少遇到针对Linux桌面环境的木马。截至本文撰稿时，Dr. Web公司亦没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大，因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。