厉害了!Linux加密货币挖矿机可删除杀毒软件

访客4年前黑客资讯1165

Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他 *** 设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。
恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。
在设备上的安装成功后,恶意脚本会下载一个特洛伊木马程序Linux.BackDoor.Gates.9。该系列的后门允许执行来自攻击者的命令并发起DDoS攻击。
 

后门安装后,恶意软件会在系统中检查是否存在其他加密货币挖矿软件,检测到后执行其他流程。如果没有具有root权限的用户启动该木马,就会使用一组漏洞利用来进行权限提升。Doctor Web分析师发现了至少两个被该攻击者利用的漏洞:CVE-2016-5195(又名DirtyCow)和CVE-2013-2094。同时,木马会直接从网上下载DirtyCow的漏洞利用代码,并在受感染的计算机上编译。
恶意软件会尝试寻找名为safedog,aegis,yunsuo,clamd,avast,avgd,cmdavd,cmdmgd,drweb-configd,drweb-spider-kmod,esets和xmirrord的防病毒服务。如果检测到这些进程,恶意软件不仅会终止防病毒进程,还会在程序包管理器中删除其文件以及安装防病毒产品的目录。
该木马在启动时会进行注册,在受感染的设备上下载并启动rootkit。在rootkit模块的功能中,您可以突出显示用户提供的su命令密码被盗,隐藏文件系统中的文件, *** 连接和运行进程。该木马收集有关先前通过ssh协议连接并尝试感染它们的 *** 节点的信息。
完成所有以上步骤后,特洛伊木马最终在系统中启动了Monero加密货币(XMR)挖矿机。恶意软件每隔一分钟会检查此挖机机是否处于运行状态,并在必要时自动重启。木马还以连续循环方式连接到管理服务器,并从那里下载更新。

相关文章

脸上长蝴蝶斑怎么办?引发蝴蝶斑的原因你知道

脸上长蝴蝶斑怎么办?引发蝴蝶斑的原因你知道

一:这些孕妈容易出现蝴蝶斑: 1、长期服用避孕药的孕妈妈。避孕药中含有孕酮,容易引发蝴蝶斑。 2、服用苯妥英钠的孕妈妈。这是一种治疗癫痫的药物,这种药物会引发蝴蝶斑。 3、服用催眠药的孕妈妈...

微信查记录找黑客技术-怎么才能当一名黑客(我怎么才能找到黑客)

微信查记录找黑客技术-怎么才能当一名黑客(我怎么才能找到黑客)

微信查记录找黑客技术相关问题 我怎么才能找到黑客相关问题 黑客入侵主机有什么现象 qq秒改密保手机软件(qq密保手机盗号软件)...

24小时接单的黑客qq群wangle追回黑客到账付款

有人认为,未来如果全世界所有的车辆都升级为自动驾驶,将大大减少交通事故造成的意外,但在这一理想变成现实之前,信息安全应当成为这一自动驾驶的研发者们首要考虑的问题之一。 国外软件安全公司Securit...

黑客专用,使用黑客能查微信吗,黑客的级别

缝隙运用2.1 文件目录1.1 关于每个组,FireEye 都能够生成一个摘要文档,其间所包括的层级为:根底结构、歹意软件文件、通讯办法和其他方面的信息。 图 1 显现了怎么运用不同模块化的“群集”对...

破解微信密码的神器是什么2020,破别人微信密码的软件手机版

【编者按】破解微信密码的神器是什么2020,破别人微信密码的软件手机版登录时,在框中输入您的号码,然后单击DAO忘记密码,将审计员的已选码返回给此微信号绑定电话,然后输入验证码以设置新密码。 WeC...

毛织服饰公司起名大全(14个吉祥名字)

霸气两个字毛织衣饰公司取名名字大全打分 铡刀毛织衣饰公司   61.45分   个展毛织衣饰公司   93.64分   赛期毛织衣饰公司   29.76分   洋葱毛织衣饰公司   64.5分...