厉害了!Linux加密货币挖矿机可删除杀毒软件

访客3年前黑客资讯1148

Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他 *** 设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。
恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。
在设备上的安装成功后,恶意脚本会下载一个特洛伊木马程序Linux.BackDoor.Gates.9。该系列的后门允许执行来自攻击者的命令并发起DDoS攻击。
 

后门安装后,恶意软件会在系统中检查是否存在其他加密货币挖矿软件,检测到后执行其他流程。如果没有具有root权限的用户启动该木马,就会使用一组漏洞利用来进行权限提升。Doctor Web分析师发现了至少两个被该攻击者利用的漏洞:CVE-2016-5195(又名DirtyCow)和CVE-2013-2094。同时,木马会直接从网上下载DirtyCow的漏洞利用代码,并在受感染的计算机上编译。
恶意软件会尝试寻找名为safedog,aegis,yunsuo,clamd,avast,avgd,cmdavd,cmdmgd,drweb-configd,drweb-spider-kmod,esets和xmirrord的防病毒服务。如果检测到这些进程,恶意软件不仅会终止防病毒进程,还会在程序包管理器中删除其文件以及安装防病毒产品的目录。
该木马在启动时会进行注册,在受感染的设备上下载并启动rootkit。在rootkit模块的功能中,您可以突出显示用户提供的su命令密码被盗,隐藏文件系统中的文件, *** 连接和运行进程。该木马收集有关先前通过ssh协议连接并尝试感染它们的 *** 节点的信息。
完成所有以上步骤后,特洛伊木马最终在系统中启动了Monero加密货币(XMR)挖矿机。恶意软件每隔一分钟会检查此挖机机是否处于运行状态,并在必要时自动重启。木马还以连续循环方式连接到管理服务器,并从那里下载更新。

相关文章

手机黑客软件哪里找(黑客手机定位追踪软件)

手机定位软件:入侵电信服务商(如移动)的主机,里面有对特定号码实时定位的功能模块,能具体到某个街道。但是前提是你要先入侵成功。还可以通过间谍设备进行。 目前手机的允许内存和处理器还不能支持灰鸽子易语言...

北京发布假期疫情防控提示 学校师生坚持非必要

  北京发布假期疫情防控提示,暂不恢复出入境旅游业务   学校师生坚持非必要不离京   国庆中秋假期期间,北京不接受14天内来自国内中高风险地区人员、入境人员入住酒店和乡村民宿或进入景区游览。北京...

chinajoy系列视频,《问你妹》搞来屋出品

谢谢本站福娃“adosh”分享,原帖地址,更多优异内容请接见本站论坛。 就是前两天发的摸胸的那段视频就是出自这个小组, 节目组对chinajoy的妹子们举行采访,问些如:“chinajoy有人骚扰...

2021,我们如何定义抖音?

小武在第一次跟随舞狮队登台表演前弄丢了自己的绣球。 作为家里五代舞狮的传人,这似乎是一个悲伤故事的开始——情急之下,小武随手捧起一个尿盆匆忙登台。这个不得已的无意之举,却成了他和所在小镇改变命运...

天猫超市的东西靠谱吗,简述天猫超市跟旗舰店区别

天猫超市的东西靠谱吗,简述天猫超市跟旗舰店区别

了解淘宝网的人毫无疑问都了解天猫商城,而且在淘宝网里边,只需是天猫商城的店面大伙儿都是会更为坚信一些,那麼天猫和官方旗舰店哪一个更可靠?   天猫和官方旗舰店哪一个更可靠?   同一产品...

以家人之名唐灿性格是怎样的 唐灿最后和贺子秋在一起了吗

《以家人之名》唐灿应对庄北的回绝,拿得起放得下的性情增粉成千上万观众们,相对性于李尖长和齐明月的人物关系,唐灿的直率性情更受大伙儿喜爱,还想她和贺子秋在一起,以家人之名唐灿性情是如何的?下边产生详细介...