俄罗斯杀毒软件公司 Dr.Web 在近期发现了被称为 Linux.BtcMine.174 的木马,比传统的恶意程序更复杂,包含了大量恶意功能。
它本身是一个巨大的 shell 脚本,有超过 1000 行代码,感染之后的第一件事是寻找具有写入权限的目录,将自己拷贝进去,然后下载更多恶意模块。
如果发现系统缺乏相关组件,还会自行安装。
之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。
在获取 root 权限之后,木马会将自己设为本地守护进程。
在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。
一切准备就绪之后,木马将执行其最主要的功能——对加密货币进行挖矿。
此外,木马还会下载并运行其它恶意软件,比如Linux.BackDoor.Gates.9木马。这类后门允许执行网络罪犯发出的命令,执行DDoS攻击。
最后,该木马会收集受感染主机信息,并通过 SSH 连接将自身传播到更多的系统。
如果你需要Linux.BtcMine的SHA1文件散列,可以访问:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174
IoT前哨站:safedog(安全狗)、aegis(安骑士)、yunsuo(云锁),这三款都是中国的安全软件,而且国内用户很多,该病毒上来先关这三个软件,不知道是忌惮中国的安全技术,还是冲着中国用户来的。
如果是后者,那各位同胞要做好防黑准备了,肯定还会有下一波进攻。毕竟这个病毒作者信奉的可是:“Audentes fortuna iuvat”。