俄羅斯殺毒軟件公司 Dr.Web 近日公開了一個被稱為 Linux.BtcMine.174 的新型木馬，相比傳統(tǒng)惡意 Linux 病毒，它更加復(fù)雜，同時也包含了大量惡意功能。

該木馬是一個包含 1000 多行代碼的shell 腳本，它同時也是能在受感染Linux 系統(tǒng)上執(zhí)行的第一個文件。

在入侵 Linux 之后，腳本會尋找磁盤上具有寫入權(quán)限的文件夾，進行繁殖，并下載其它模塊。之后它會利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個漏洞之一進行提權(quán)。在獲取root 權(quán)限之后，木馬會將自己設(shè)為本地守護進程。

在這個過程中，病毒將查找Linux 系統(tǒng)上的殺毒軟件進程名稱，并將其關(guān)閉，查找對象包括：safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 與xmirrord。

一切準備就緒之后，木馬將執(zhí)行其最主要的功能——對加密貨幣進行挖礦。

此外，木馬還會下載并運行其它惡意軟件，收集有關(guān)受感染主機通過 SSH 連接的所有遠程服務(wù)器信息并嘗試連接，以便將自身傳播到更多的系統(tǒng)。

目前 Dr.Web 已在GitHub上釋出了該木馬各組件的 SHA1 文件哈希值。