俄羅斯殺毒軟件公司 Dr.Web 近日公開(kāi)了一個(gè)被稱(chēng)為 Linux.BtcMine.174 的新型木馬,相比傳統(tǒng)惡意 Linux 病毒,它更加復(fù)雜,同時(shí)也包含了大量惡意功能。
該木馬是一個(gè)包含 1000 多行代碼的shell 腳本,它同時(shí)也是能在受感染Linux 系統(tǒng)上執(zhí)行的第一個(gè)文件。
在入侵 Linux 之后,腳本會(huì)尋找磁盤(pán)上具有寫(xiě)入權(quán)限的文件夾,進(jìn)行繁殖,并下載其它模塊。之后它會(huì)利用 CVE-2016-5195(又稱(chēng) Dirty COW)和 CVE-2013-2094 兩個(gè)漏洞之一進(jìn)行提權(quán)。在獲取root 權(quán)限之后,木馬會(huì)將自己設(shè)為本地守護(hù)進(jìn)程。
在這個(gè)過(guò)程中,病毒將查找Linux 系統(tǒng)上的殺毒軟件進(jìn)程名稱(chēng),并將其關(guān)閉,查找對(duì)象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與xmirrord。
一切準(zhǔn)備就緒之后,木馬將執(zhí)行其最主要的功能——對(duì)加密貨幣進(jìn)行挖礦。
此外,木馬還會(huì)下載并運(yùn)行其它惡意軟件,收集有關(guān)受感染主機(jī)通過(guò) SSH 連接的所有遠(yuǎn)程服務(wù)器信息并嘗試連接,以便將自身傳播到更多的系統(tǒng)。
目前 Dr.Web 已在GitHub上釋出了該木馬各組件的 SHA1 文件哈希值。
-
Linux
+關(guān)注
關(guān)注
87文章
11123瀏覽量
207905 -
病毒
+關(guān)注
關(guān)注
0文章
100瀏覽量
23651
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論