俄羅斯殺毒軟件公司 Dr.Web 近日公開了一個被稱爲 Linux.BtcMine.174 的新型***,相比傳統惡意 Linux 病毒,它更加複雜,同時也包含了大量惡意功能。
該***是一個包含 1000 多行代碼的 shell 腳本,它同時也是能在受感染 Linux 系統上執行的第一個文件。
在*** Linux 之後,腳本會尋找磁盤上具有寫入權限的文件夾,進行繁殖,並下載其它模塊。之後它會利用 CVE-2016-5195(又稱 Dirty COW)和 CVE-2013-2094 兩個漏洞之一進行提權。在獲取 root 權限之後,***會將自己設爲本地守護進程。
在這個過程中,病毒將查找 Linux 系統上的殺毒軟件進程名稱,並將其關閉,查找對象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與 xmirrord。
一切準備就緒之後,***將執行其最主要的功能——對加密貨幣進行挖礦。
此外,***還會下載並運行其它惡意軟件,收集有關受感染主機通過 SSH 連接的所有遠程服務器信息並嘗試連接,以便將自身傳播到更多的系統。
目前 Dr.Web 已在 GitHub 上釋出了該***各組件的 SHA1 文件哈希值。