查看原文
其他

新型 Linux 病毒,脚本超 1000 行,功能复杂

OSC-h4cd 开源中国 2018-12-14


俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能。




该木马是一个包含 1000 多行代码的 shell 脚本,它同时也是能在受感染 Linux 系统上执行的第一个文件。


在入侵 Linux 之后,脚本会寻找磁盘上具有写入权限的文件夹,进行繁殖,并下载其它模块。之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后,木马会将自己设为本地守护进程。


在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。


一切准备就绪之后,木马将执行其最主要的功能——对加密货币进行挖矿。


此外,木马还会下载并运行其它恶意软件,收集有关受感染主机通过 SSH 连接的所有远程服务器信息并尝试连接,以便将自身传播到更多的系统。


目前 Dr.Web 已在 GitHub 上释出了该木马各组件的 SHA1 文件哈希值:


  • https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174


详情查看 Dr.Web 的报告:


  • https://vms.drweb.com/virus/?i=17645163


开源中国征稿开始啦!


开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社区,拥有超过 200 万的开源技术精英。我们传播开源的理念,推广开源项目,为 IT 开发者提供一个发现、使用、并交流开源技术的平台。


现在我们开始对外征稿啦!如果你有优秀的技术文章想要分享,热点的行业资讯需要报道等等,欢迎联系开源中国进行投稿。投稿详情及联系方式请参见:我要投稿




推荐阅读

Go 的成功也预示着 Rust 的成功

Neo4j 宣布企业版彻底闭源

Django 面临发展困境,意欲进行整改并废除核心团队

Spring Cloud Alibaba,中国 Javaer 的福音,为微服务续上 18 年

树莓派上利用 Tensorflow 实现小车的自动驾驶

更多详情请查看阅读原文↓↓↓↓↓

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存