新型 Linux 病毒，腳本超 1000 行，功能複雜

俄羅斯殺毒軟體公司 Dr.Web 近日公開了一個被稱為 Linux.BtcMine.174 的新型木馬，相比傳統惡意 Linux 病毒，它更加複雜，同時也包含了大量惡意功能。

該木馬是一個包含 1000 多行代碼的 shell 腳本，它同時也是能在受感染 Linux 系統上執行的第一個文件。

在入侵 Linux 之後，腳本會尋找磁碟上具有寫入許可權的文件夾，進行繁殖，並下載其它模塊。之後它會利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個漏洞之一進行提權。在獲取 root 許可權之後，木馬會將自己設為本地守護進程。

在這個過程中，病毒將查找 Linux 系統上的殺毒軟體進程名稱，並將其關閉，查找對象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與 xmirrord。

一切準備就緒之後，木馬將執行其最主要的功能——對加密貨幣進行挖礦。

此外，木馬還會下載並運行其它惡意軟體，收集有關受感染主機通過 SSH 連接的所有遠程伺服器信息並嘗試連接，以便將自身傳播到更多的系統。

目前 Dr.Web 已在 GitHub 上釋出了該木馬各組件的 SHA1 文件哈希值：

https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

詳情查看 Dr.Web 的報告：

https://vms.drweb.com/virus/?i=17645163

本文經授權轉自開源中國，作者OSC-h4cd。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！