iStoreOS路由器系统遭遇新型Linux病毒攻击分析

病毒特征与感染表现

近期，多名iStoreOS用户报告其路由器系统出现异常网络行为，主要表现为上传带宽被完全占用，TCP连接数激增至6万以上。经技术分析，确认这是一种针对Linux系统的恶意病毒，主要影响基于OpenWRT的路由器系统。

该病毒具有以下典型特征：

1. 大量消耗上传带宽，最高可达120MB/s
2. 建立大量异常TCP连接
3. 感染后系统DNS服务异常
4. 通过多个隐蔽位置植入持久化机制

病毒技术分析

病毒文件与感染机制

病毒主要通过以下文件实现感染和持久化：

/.mod
/boot/system.pub
/etc/init.d/dns-4udp  
/etc/profile.d/bash.cfg
/etc/profile.d/bash.cfg.sh
/etc/profile.d/gateway.sh
/lib/system.mark
/usr/lib/libgdi.so.0.8.2
/usr/sbin/netstat.cfg

其中核心病毒文件MD5值为f449ef47c4f79ab4ecfe3d11022333d5，主要伪装成以下文件：

• /boot/system.pub
• /lib/system.mark
• /etc/profile.d/bash.cfg
• /usr/sbin/netstat.cfg
• /usr/lib/libgdi.so.0.8.2

持久化技术

病毒采用多种方式确保长期驻留：

1. 修改/etc/crontab添加定时任务：*/1 * * * * root /.mod
2. 在/etc/init.d/目录下创建启动脚本dns-4udp
3. 修改/etc/rc.local添加启动项
4. 劫持常用命令(ps/ls/find等)隐藏自身

网络行为分析

病毒会连接恶意域名www.c72s.com和IP地址193.142.146.228获取指令，主要进行以下恶意活动：

1. 对外发起SYN洪水攻击
2. 建立大量异常连接
3. 消耗系统资源

解决方案与防护建议

清除病毒步骤

1. 立即断开网络连接
2. 删除所有病毒文件（上述列表）
3. 清理被修改的配置文件：

   sed -i '/\/lib\/system\.mark/d' /etc/init.d/*
   

4. 检查并清理/etc/crontab、/etc/rc.local等文件

系统恢复建议

1. 完全重刷固件（不保留配置）
2. 恢复出厂设置后立即修改root密码
3. 建议禁用SSH密码登录，改用密钥认证
4. 设置防火墙规则屏蔽可疑域名和IP

安全防护最佳实践

1. 安装系统后第一时间修改默认密码
2. 避免使用弱密码，建议16位以上复杂密码
3. 限制SSH访问来源IP
4. 定期检查系统进程和网络连接
5. 保持系统及时更新

该病毒事件再次提醒我们物联网设备安全的重要性。路由器作为网络入口设备，一旦被攻破将威胁整个内网安全。建议用户提高安全意识，采取上述防护措施保护设备安全。