針對(duì) Linux 平臺(tái)的惡意軟件，可能不像 Windows 平臺(tái)那么普遍。但隨著時(shí)間的推移，它們正在變得越來(lái)越復(fù)雜、功能也更加多樣。近日，俄羅斯反病毒軟件廠商 Dr.Web 發(fā)現(xiàn)了一種新型木馬。鑒于其沒(méi)有特定的應(yīng)用程序名，所以暫且用Linux.BtcMine.174 來(lái)指代。與大多數(shù) Linux 惡意軟件相比，它的復(fù)雜程度明顯要更高，因?yàn)槠渲邪舜罅康膼阂夤δ堋?/p>

該木馬本身是一個(gè)包含 1000 多行代碼的巨型 shell 腳本，也是能在受感染的 Linux 系統(tǒng)上執(zhí)行的第一個(gè)文件。

它所做的第一件事，就是尋找磁盤(pán)上某個(gè)具有寫(xiě)入權(quán)限的文件夾，這樣它就可以復(fù)制自己、然后用于下載其它模塊。

一旦木馬在受害系統(tǒng)上站穩(wěn)了腳跟，就會(huì)利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個(gè)特權(quán)提升漏洞中的一種。

在獲取了 root 權(quán)限之后，它就擁有了對(duì)操作系統(tǒng)的完整訪問(wèn)權(quán)限，然后該木馬將自己設(shè)為本地守護(hù)進(jìn)程。

如果程序尚不存在，它甚至可以自行下載 nohup 工具來(lái)實(shí)現(xiàn)這一點(diǎn)。在牢牢掌握了受感染的主機(jī)之后，它會(huì)繼續(xù)執(zhí)行其設(shè)計(jì)的主要功能 —— 加密貨幣挖礦！

此外，它還會(huì)下載并運(yùn)行另一款?lèi)阂廛浖?—— 被稱作比爾·蓋茨木馬的 DDoS 木馬 —— 后者亦帶有許多類(lèi)似的后門(mén)功能。

你以為這就完了？Dr. Web 指出，Linux.BtcMine.174 還會(huì)查找基于 Linux 的殺毒軟件進(jìn)程名稱，并終止其執(zhí)行。受害者包括：

safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。

更加喪心病狂的是，惡意攻擊者對(duì)此還不滿意—— 甚至為自己制作了一份自動(dòng)運(yùn)行項(xiàng)文件，將之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路徑，下載并運(yùn)行 rootkit 。

專家表示，該 rootkit 組件在功能上更具侵入性，能夠竊取用戶在使用 su 命令時(shí)輸入的密碼，并隱藏文件系統(tǒng)、網(wǎng)絡(luò)連接、以及運(yùn)行進(jìn)程中的文件。

此外，Linux.BtcMine.174 會(huì)運(yùn)行一個(gè)功能，收集有關(guān)受感染主機(jī)通過(guò) SSH 連接的所有遠(yuǎn)程服務(wù)器信息、并嘗試連接，以便將自身傳播到更多的系統(tǒng)。

這種 SSH 自擴(kuò)展機(jī)制，被認(rèn)為是該木馬的主要分發(fā)渠道。

因其還依賴于竊取有效的 SSH 憑據(jù)，意味著某些 Linux 系統(tǒng)管理員即便再小心、正確地保護(hù)其服務(wù)器的 SSH 連接、并且只允許特定數(shù)量的主機(jī)連接，他們也可能在不經(jīng)意間感染其中一個(gè)、然后喜迎“惡意軟件全家桶”。

Dr.Web 已在GitHub上晾出了該木馬各組件的 SHA1 文件哈希值，以方便系統(tǒng)管理員掃描他們的系統(tǒng)是否存在這種相對(duì)較新的威脅。

有關(guān)該惡意軟件的更多細(xì)節(jié)，可移步至這里查看：

https://vms.drweb.com/virus/?i=17645163