安全動態(tài)

新型 Linux 病毒,腳本超 1000 行,功能復(fù)雜

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-11-25    瀏覽次數(shù):
 

信息來源:51cto

俄羅斯殺毒軟件公司 Dr.Web 近日公開了一個被稱為 Linux.BtcMine.174 的新型木馬,相比傳統(tǒng)惡意 Linux 病毒,它更加復(fù)雜,同時也包含了大量惡意功能。

該木馬是一個包含 1000 多行代碼的 shell 腳本,它同時也是能在受感染 Linux 系統(tǒng)上執(zhí)行的第一個文件。

在入侵 Linux 之后,腳本會尋找磁盤上具有寫入權(quán)限的文件夾,進行繁殖,并下載其它模塊。之后它會利用 CVE-2016-5195(又稱 Dirty COW)和 CVE-2013-2094 兩個漏洞之一進行提權(quán)。在獲取 root 權(quán)限之后,木馬會將自己設(shè)為本地守護進程。

在這個過程中,病毒將查找 Linux 系統(tǒng)上的殺毒軟件進程名稱,并將其關(guān)閉,查找對象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與 xmirrord。

一切準備就緒之后,木馬將執(zhí)行其最主要的功能——對加密貨幣進行挖礦。

此外,木馬還會下載并運行其它惡意軟件,收集有關(guān)受感染主機通過 SSH 連接的所有遠程服務(wù)器信息并嘗試連接,以便將自身傳播到更多的系統(tǒng)。

目前 Dr.Web 已在 GitHub 上釋出了該木馬各組件的 SHA1 文件哈希值。

詳情查看 Dr.Web 的報告。

 
 

上一篇:2018年11月24日 聚銘安全速遞

下一篇:2018年77%的組織遭受DNS攻擊 你中招了沒?