新型 Linux 病毒,腳本超 1000 行,功能複雜
俄羅斯殺毒軟體公司 Dr.Web 近日公開了一個被稱為 Linux.BtcMine.174 的新型木馬,相比傳統惡意 Linux 病毒,它更加複雜,同時也包含了大量惡意功能。
該木馬是一個包含 1000 多行代碼的 shell 腳本,它同時也是能在受感染 Linux 系統上執行的第一個文件。
在入侵 Linux 之後,腳本會尋找磁碟上具有寫入許可權的文件夾,進行繁殖,並下載其它模塊。之後它會利用 CVE-2016-5195(又稱 Dirty COW)和 CVE-2013-2094 兩個漏洞之一進行提權。在獲取 root 許可權之後,木馬會將自己設為本地守護進程。
在這個過程中,病毒將查找 Linux 系統上的殺毒軟體進程名稱,並將其關閉,查找對象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與 xmirrord。
一切準備就緒之後,木馬將執行其最主要的功能——對加密貨幣進行挖礦。
此外,木馬還會下載並運行其它惡意軟體,收集有關受感染主機通過 SSH 連接的所有遠程伺服器信息並嘗試連接,以便將自身傳播到更多的系統。
目前 Dr.Web 已在 GitHub 上釋出了該木馬各組件的 SHA1 文件哈希值:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174
詳情查看 Dr.Web 的報告:
https://vms.drweb.com/virus/?i=17645163
本文經授權轉自開源中國,作者OSC-h4cd。
※如何用 Python 選出好用又便宜的手機?
※小米在印幹掉蘋果;中國 4G 網速超美日;程維柳青聽取批評
TAG:CSDN |