Dr.Web曝光新型Linux惡意軟體 指令碼功能極其複雜龐大

針對 Linux 平臺的惡意軟體，可能不像 Windows 平臺那麼普遍。但隨著時間的推移，它們正在變得越來越複雜、功能也更加多樣。 近日，俄羅斯反病毒軟體廠商 Dr.Web 發現了一種新型木馬。鑑於其沒有特定的應用程式名，所以暫且用 Linux.BtcMine.174 來指代。 與大多數 Linux 惡意軟體相比，它的複雜程度明顯要更高，因為其中包含了大量的惡意功能。

該木馬本身是一個包含 1000 多行程式碼的巨型 shell 指令碼，也是能在受感染的 Linux 系統上執行的第一個檔案。

它所做的第一件事，就是尋找磁碟上某個具有寫入許可權的資料夾，這樣它就可以複製自己、然後用於下載其它模組。

一旦木馬在受害系統上站穩了腳跟， 就會利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個特權提升漏洞中的一種。

在獲取了 root 許可權之後，它就擁有了對作業系統的完整訪問許可權，然後該木馬將自己設為本地守護程序。

如果程式尚不存在，它甚至可以自行下載 nohup 工具來實現這一點。 在牢牢掌握了受感染的主機之後，它會繼續執行其設計的主要功能 —— 加密貨幣挖礦！

此外，它還會下載並執行另一款惡意軟體 —— 被稱作比爾·蓋茨木馬的 DDoS 木馬 —— 後者亦帶有許多類似的後門功能。

你以為這就完了？Dr. Web 指出， Linux.BtcMine.174 還會查詢基於 Linux 的防毒軟體程序名稱，並終止其執行。 受害者包括：

safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。

更加喪心病狂的是，惡意攻擊者對此還不滿意—— 甚至為自己製作了一份自動執行項檔案，將之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路徑，下載並執行 rootkit 。

專家表示，該 rootkit 元件在功能上更具侵入性，能夠竊取使用者在使用 su 命令時輸入的密碼，並隱藏檔案系統、網路連線、以及執行程序中的檔案。

此外，Linux.BtcMine.174 會執行一個功能， 收集有關受感染主機通過 SSH 連線的所有遠端 ofollow,noindex">伺服器 資訊、並嘗試連線， 以便將自身傳播到更多的系統。

這種 SSH 自擴充套件機制，被認為是該木馬的主要分發渠道。

因其還依賴於竊取有效的 SSH 憑據，意味著某些 Linux 系統管理員即便再小心、正確地保護其伺服器的 SSH 連線、並且只允許特定數量的主機連線，他們也可能在不經意間感染其中一個、然後喜迎“惡意軟體全家桶”。

Dr.Web 已在 GitHub 上晾出了該木馬各元件的 SHA1 檔案雜湊值，以方便系統管理員掃描他們的系統是否存在這種相對較新的威脅。

有關該惡意軟體的更多細節，可移步至這裡檢視：

https://vms.drweb.com/virus/?i=17645163

[編譯自： ZDNet ]