前言:在入侵 Linux 之后,脚本会寻找磁盘上具有写入权限的文件夹,进行繁殖,并下载其它模块。之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后,木马会将自己设为本地守护进程。
新型Linux脚本病毒现身,代码冗长结构复杂
日前,俄罗斯计算机安全公司Dr.Web公开了一个名为Linux.BtcMine.174的新型木马,这一病毒相对于传统的Linux病毒,代码量巨大,同时功能也非常复杂。目前该公司已经将这一病毒的各个组件的SHA1文件哈希值上传到GitHub。
该公司称,这一病毒是一个包含1000多行代码的Shell脚本文件,该脚本文件一旦被执行,它就会自动寻找磁盘上有写入权限的文件夹并下载其他模块进行繁殖。随后它会利用Linux上的两个漏洞对木马程序的权限进行提升,获得root权限后木马程序会自动驻守本地。
该木马会利用权限将Linux系统内安装的杀毒软件关闭,随后就利用硬件资源开始挖矿。除此之外,该木马程序还会下载其他恶意软件并通过此主机中此前连接过的SSH远程服务器进行传播。
新型 Linux 病毒,脚本超 1000 行,功能复杂
俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能。

该木马是一个包含 1000 多行代码的 shell 脚本,它同时也是能在受感染 Linux 系统上执行的第一个文件。
在入侵 Linux 之后,脚本会寻找磁盘上具有写入权限的文件夹,进行繁殖,并下载其它模块。之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后,木马会将自己设为本地守护进程。
在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。
一切准备就绪之后,木马将执行其最主要的功能——对加密货币进行挖矿。
此外,木马还会下载并运行其它恶意软件,收集有关受感染主机通过 SSH 连接的所有远程服务器信息并尝试连接,以便将自身传播到更多的系统。
目前 Dr.Web 已在 GitHub 上释出了该木马各组件的 SHA1 文件哈希值:
文章出自:http://qh.itpxw.cn/edu/201844780.html
文章标题:新型 Linux 病毒功能很强大 网友直呼代码太复杂
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
在接下来十年,人才的竞争赛道将再次切换。 Carl Benedikt Frey和...
互联网时代,真正的开拓不仅是坚忍前进,还需要创造精神,创...
在政策牵引下,中国的云计算产业规模迅速扩大。据统计,201...
2017年,微软Xbox和任天堂的Switch混合手持/机顶盒游戏机将受到更...