新型 Linux 病毒出爐 比傳統(tǒng)惡意Linux 病毒更惡意

俄羅斯殺毒軟件公司 Dr.Web 近日公開(kāi)了一個(gè)被稱(chēng)為 Linux.BtcMine.174 的新型木馬，相比傳統(tǒng)惡意 Linux 病毒，它更加復(fù)雜，同時(shí)也包含了大量惡意功能。

該木馬是一個(gè)包含 1000 多行代碼的shell 腳本，它同時(shí)也是能在受感染Linux 系統(tǒng)上執(zhí)行的第一個(gè)文件。

在入侵 Linux 之后，腳本會(huì)尋找磁盤(pán)上具有寫(xiě)入權(quán)限的文件夾，進(jìn)行繁殖，并下載其它模塊。之后它會(huì)利用 CVE-2016-5195（又稱(chēng) Dirty COW）和 CVE-2013-2094 兩個(gè)漏洞之一進(jìn)行提權(quán)。在獲取root 權(quán)限之后，木馬會(huì)將自己設(shè)為本地守護(hù)進(jìn)程。

在這個(gè)過(guò)程中，病毒將查找Linux 系統(tǒng)上的殺毒軟件進(jìn)程名稱(chēng)，并將其關(guān)閉，查找對(duì)象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與xmirrord。

一切準(zhǔn)備就緒之后，木馬將執(zhí)行其最主要的功能——對(duì)加密貨幣進(jìn)行挖礦。

此外，木馬還會(huì)下載并運(yùn)行其它惡意軟件，收集有關(guān)受感染主機(jī)通過(guò) SSH 連接的所有遠(yuǎn)程服務(wù)器信息并嘗試連接，以便將自身傳播到更多的系統(tǒng)。

目前 Dr.Web 已在GitHub上釋出了該木馬各組件的 SHA1 文件哈希值。