本帖最后由 wzhjcj 于 2018-11-25 22:20 编辑

俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马，相比传统恶意 Linux 病毒，它更加复杂，同时也包含了大量恶意功能。
该木马是一个包含 1000 多行代码的 shell 脚本，它同时也是能在受感染 Linux 系统上执行的第一个文件。

在入侵 Linux 之后，脚本会寻找磁盘上具有写入权限的文件夹，进行繁殖，并下载其它模块。之后它会利用 CVE-2016-5195（又称 Dirty COW）和 CVE-2013-2094 两个漏洞之一进行提权。在获取 root 权限之后，木马会将自己设为本地守护进程。

在这个过程中，病毒将查找 Linux 系统上的杀毒软件进程名称，并将其关闭，查找对象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。

一切准备就绪之后，木马将执行其最主要的功能——对加密货币进行挖矿。

此外，木马还会下载并运行其它恶意软件，收集有关受感染主机通过 SSH 连接的所有远程服务器信息并尝试连接，以便将自身传播到更多的系统。

目前 Dr.Web 已在 GitHub 上释出了该木马各组件的 SHA1 文件哈希值:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

详情查看 Dr.Web 的报告:
https://vms.drweb.com/virus/?i=17645163