手机版
你好,游客 登录 注册
背景:
阅读新闻

新的加密挖矿恶意软件攻击Linux机器,杀死其他挖矿软件和反恶意软件

[日期:2018-11-24] 来源:Linux公社  作者:醉落红尘 [字体: ]

俄罗斯Dr.Web反恶意软件制造商发现了一种新的Linux下恶意软件,该恶意软件体现在一个特洛伊木马程序中,可以作为加密货币挖矿软件,也可以作为DDoS后门程序和rootkit等其他恶意软件有效负载的通道。

Dr.Web团队为新木马病毒命名为Linux.BtcMine.174,是一个1000行shell脚本,它带有多个模块,可以下载并写入任何具有写入权限的文件夹。

一旦它设法在受感染的计算机上转储额外的恶意软件负载,Linux.BtcMine.174将使用nohup POSIX实用程序将其自身作为守护程序启动,将其输出重定向到nohup.out文件以使检测更加困难。

在将自身作为服务安装后,特洛伊木马会下载Linux.BackDoor.Gates.9特洛伊木马有效负载,使其主机可以控制受感染的计算机并使用它来执行DDoS攻击。

因为在破坏其Linux目标后,特洛伊木马在当前用户的特权下运行,几乎从不是管理员帐户,Linux.BtcMine.174使用Linux.Exploit.CVE-2016-5195(称为DirtyCow)和Linux等漏洞。 Exploit.CVE-2013-2094升级其权限并完全接管Linux机器。

一旦它在受感染设备上获得root权限,就开始搜索任何AntiMalware解决方案,在找到时终止它们的进程,并使用包管理器完全卸载它们。

Linux.BtcMine.174还窃取root密码并通过SSH自动传播

特洛伊木马还会追捕它可以在机器上运行的任何加密矿工,终止他们的进程以避免共享系统的计算资源。一旦完成“清理”任何采矿竞争对手的设备,Linux.BtcMine.174将下载Monero(XMR)挖掘脚本并开始工作。

挖掘过程开始后,恶意软件将确保它始终保持运行,每隔几分钟在无限循环中检查其心跳并在需要时重新启动它。

为了让受害者更加糟糕,特洛伊木马还会将自己添加到机器的Autorun中,并下载一个能够在系统中的任何位置隐藏文件的rootkit,更重要的是,窃取“用户输入的su命令密码”。

在感染过程的最后阶段,Linux.BtcMine.174特洛伊木马程序开始使用SSH查看受感染机器所有者过去连接到的网络上可用的所有主机,并尝试连接并感染每个主机。

有关针对Linux系统的新木马菌株内部工作原理的更多详细信息可在Dr.Web的病毒数据库中获得,同时GitHub上也提供了所有发现的危害指标的完整列表。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-11/155469.htm

linux
相关资讯       加密挖矿恶意软件 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款