俄羅斯殺毒軟件公司 Dr.Web 近日公開了一個(gè)被稱為 Linux.BtcMine.174 的新型木馬，相比傳統(tǒng)惡意 Linux 病毒，它更加復(fù)雜，同時(shí)也包含了大量惡意功能。

該木馬是一個(gè)包含 1000 多行代碼的shell 腳本，它同時(shí)也是能在受感染Linux 系統(tǒng)上執(zhí)行的第一個(gè)文件。

在入侵 Linux 之后，腳本會尋找磁盤上具有寫入權(quán)限的文件夾，進(jìn)行繁殖，并下載其它模塊。之后它會利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個(gè)漏洞之一進(jìn)行提權(quán)。在獲取root 權(quán)限之后，木馬會將自己設(shè)為本地守護(hù)進(jìn)程。

在這個(gè)過程中，病毒將查找Linux 系統(tǒng)上的殺毒軟件進(jìn)程名稱，并將其關(guān)閉，查找對象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與xmirrord。

一切準(zhǔn)備就緒之后，木馬將執(zhí)行其最主要的功能——對加密貨幣進(jìn)行挖礦。

此外，木馬還會下載并運(yùn)行其它惡意軟件，收集有關(guān)受感染主機(jī)通過 SSH 連接的所有遠(yuǎn)程服務(wù)器信息并嘗試連接，以便將自身傳播到更多的系統(tǒng)。

目前 Dr.Web 已在GitHub上釋出了該木馬各組件的 SHA1 文件哈希值。