新型 Linux 病毒,脚本超 1000 行,功能复杂
俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型***,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能。
该***是一个包含 1000 多行代码的 shell 脚本,它同时也是能在受感染 Linux 系统上执行的第一个文件。
在*** Linux 之后,脚本会寻找磁盘上具有写入权限的文件夹,进行繁殖,并下载其它模块。之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后,***会将自己设为本地守护进程。
在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。
一切准备就绪之后,***将执行其最主要的功能——对加密货币进行挖矿。
此外,***还会下载并运行其它恶意软件,收集有关受感染主机通过 SSH 连接的所有远程服务器信息并尝试连接,以便将自身传播到更多的系统。
目前 Dr.Web 已在 GitHub 上释出了该***各组件的 SHA1 文件哈希值:
•
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174
详情查看 Dr.Web 的报告:
•
https://vms.drweb.com/virus/?i=17645163
标签:Web,drweb,Linux,病毒,Dr,1000 来源: https://blog.51cto.com/u_15127629/2824459
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。