HiNet 防毒防駭服務

病毒通告：Trojan.Linux.XZBACKDOOR.A 木馬病毒

2025-03-26

風險等級：	低度威脅
摘　　要：	病毒通告：Trojan.Linux.XZBACKDOOR.A 木馬病毒
解決辦法：	為防止系統受到該木馬的影響，建議使用者：? 使用防毒軟體掃描您的主機掃描您的電腦以刪除偵測為 Trojan.Linux.XZBACKDOOR.A的檔案。如果偵測到的檔案已被防毒軟體清理、刪除或隔離，則無需採取進一步措施。您可以選擇直接刪除被隔離的檔案。
細節描述：	Trojan.Linux.XZBACKDOOR.A，是一種針對 Linux 系統的木馬程式，透過在 XZ Utils 資料壓縮工具中植入惡意後門，允許攻擊者未經授權地遠端存取受感染的系統。該木馬病毒會植入以下文件： {Installation Directory}/.libs/liblzma_la-crc64-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc64_fast.o {Installation Directory}/.libs/liblzma_la-crc32-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc32_fast.o {Installation Directory}/liblzma_la-crc64-fast.o {Installation Directory}/liblzma.so.5.6.0 該木馬病毒修改以下文件： {Installation Directory}/.libs/liblzma_la-crc64_fast.c {Installation Directory}/.libs/liblzma_la-crc32_fast.c {Installation Directory}/src/liblzma/check/crc64_fast.c {Installation Directory}/src/liblzma/check/crc32_fast.c 該木馬病毒會執行以下操作：如果滿足以下條件，它將繼續執行其惡意程式檢查 GNU 間接函數（IFUNC）支援。要求共享函式庫支援。檢查是否為 x86-64 Linux 環境。檢查 CRC IFUNC 相關程式碼。檢查 GNU 編譯器 (GCC) 與 GNU 連結器 (ld)。檢查特定的壓縮文件。檢查 liblzma/Makefile 是否包含特定內容： am__uninstall_files_from_dir = __get_cpuid( am__install_max = am__vpath_adj_setup = am__include = include all: all-recursive LTLIBRARIES = \$(lib_LTLIBRARIES) AM_V_CCLD = \$(am__v_CCLD_\$(V)) am__install_max = 檢查 libtool 是否被配置為構建位置無關程式碼（PIC）。檢查系統環境是否為基於 Debian 或 RPM 的發行版（x86_64）。檢查被劫持的函式與隱藏的惡意載荷是否已成功注入至以下文件： {Installation Directory}/src/liblzma/check/crc64_fast.c {Installation Directory}/src/liblzma/check/crc32_fast.c {Installation Directory}/src/liblzma/check/crc_x86_clmul.h {Installation Directory}/src/liblzma/check/crc_x86_clmul.h 檢查 libtool 是否被設置為使用與 IFUNC 相容的標誌進行構建。檢查是否未啟用延遲符號解析。檢查惡意目標文件 liblzma_la-crc64-fast.o 是否存在。當構建過程完成後，後門功能將被編譯並鏈接至以下文件： {Installation Directory}/liblzma.so.5.6.0 它會等待 OpenSSH 連線，並間接加載 liblzma.so.5.6.0 文件，其中包含惡意程式如果構建失敗，它會將以下檔案重新命名為其原始名稱 {Installation Directory}/liblzma_la-crc32-fast.o → .libs/liblzma_la-crc32_fast.o {Installation Directory}/liblzma_la-crc64-fast.o → .libs/liblzma_la-crc64_fast.o 它會刪除以下檔案以消除其在系統中的痕跡： {Installation Directory}/.libs/liblzma.a {Installation Directory}/.libs/liblzma.la {Installation Directory}/.libs/liblzma.lai {Installation Directory}/.libs/liblzma.so {Installation Directory}/.libs/liblzma_la-crc64-fast.o {Installation Directory}/.libs/liblzma_la-crc32-fast.o {Installation Directory}/liblzma_la-crc64-fast.o HiNet SOC 建議使用者不定期更新病毒碼，以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊：	Trend Micro