新型 Linux 病毒，脚本超 1000 行，功能复杂

内容简介：俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马，相比传统恶意 Linux 病毒，它更加复杂，同时也包含了大量恶意功能。 该木马是一个包含 1000 多行代码的 shell 脚本，它同时也是能...

俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马，相比传统恶意 Linux 病毒，它更加复杂，同时也包含了大量恶意功能。

该木马是一个包含 1000 多行代码的 shell 脚本，它同时也是能在受感染 Linux 系统上执行的第一个文件。

在入侵 Linux 之后，脚本会寻找磁盘上具有写入权限的文件夹，进行繁殖，并下载其它模块。之后它会利用 CVE-2016-5195（又称 Dirty COW）和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后，木马会将自己设为本地守护进程。

在这个过程中，病毒将查找 Linux 系统上的杀毒软件进程名称，并将其关闭，查找对象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。

一切准备就绪之后，木马将执行其最主要的功能——对加密货币进行挖矿。

此外，木马还会下载并运行其它恶意软件，收集有关受感染主机通过 SSH 连接的所有远程服务器信息并尝试连接，以便将自身传播到更多的系统。

目前 Dr.Web 已在 GitHub 上释出了该木马各组件的 SHA1 文件哈希值。

详情查看 Dr.Web 的报告。

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 新型 Linux 病毒，脚本超 1000 行，功能复杂
• Xencrypt：一款基于PowerShell脚本实现的反病毒绕过工具
• 阻止WannaCry勒索病毒的英雄服罪 承认开发恶意病毒
• “驱动人生”挖矿病毒再更新，利用“新冠病毒”邮件传播
• 安全报告：2018年挖矿病毒和勒索病毒一体化趋势明显
• “微信支付”勒索病毒被破解：源头是带病毒的开发工具

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。