俄罗斯Dr.Web反恶意软件制造商发现了一种新的Linux下恶意软件,该恶意软件体现在一个特洛伊木马程序中,可以作为加密货币挖矿软件,也可以作为DDoS后门程序和rootkit等其他恶意软件有效负载的通道。
Dr.Web团队为新木马病毒命名为Linux.BtcMine.174,是一个1000行shell脚本,它带有多个模块,可以下载并写入任何具有写入权限的文件夹。
一旦它设法在受感染的计算机上转储额外的恶意软件负载,Linux.BtcMine.174将使用nohup POSIX实用程序将其自身作为守护程序启动,将其输出重定向到nohup.out文件以使检测更加困难。
在将自身作为服务安装后,特洛伊木马会下载Linux.BackDoor.Gates.9特洛伊木马有效负载,使其主机可以控制受感染的计算机并使用它来执行DDoS攻击。
因为在破坏其Linux目标后,特洛伊木马在当前用户的特权下运行,几乎从不是管理员帐户,Linux.BtcMine.174使用Linux.Exploit.CVE-2016-5195(称为DirtyCow)和Linux等漏洞。 Exploit.CVE-2013-2094升级其权限并完全接管Linux机器。
一旦它在受感染设备上获得root权限,就开始搜索任何AntiMalware解决方案,在找到时终止它们的进程,并使用包管理器完全卸载它们。
Linux.BtcMine.174还窃取root密码并通过SSH自动传播
特洛伊木马还会追捕它可以在机器上运行的任何加密矿工,终止他们的进程以避免共享系统的计算资源。一旦完成“清理”任何采矿竞争对手的设备,Linux.BtcMine.174将下载Monero(XMR)挖掘脚本并开始工作。
挖掘过程开始后,恶意软件将确保它始终保持运行,每隔几分钟在无限循环中检查其心跳并在需要时重新启动它。
为了让受害者更加糟糕,特洛伊木马还会将自己添加到机器的Autorun中,并下载一个能够在系统中的任何位置隐藏文件的rootkit,更重要的是,窃取“用户输入的su命令密码”。
在感染过程的最后阶段,Linux.BtcMine.174特洛伊木马程序开始使用SSH查看受感染机器所有者过去连接到的网络上可用的所有主机,并尝试连接并感染每个主机。
有关针对Linux系统的新木马菌株内部工作原理的更多详细信息可在Dr.Web的病毒数据库中获得,同时GitHub上也提供了所有发现的危害指标的完整列表。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx