新 Linux 挖矿程序会窃取 Root 密码

俄罗斯杀毒软件公司 Dr.Web 发现了被称为 Linux.BtcMine.174 的木马，比传统的恶意程序更复杂，包含了大量恶意功能。它本身是一个巨大的 shell 脚本，有超过 1000 行代码，感染之后的第一件事是寻找具有写入权限的脚本，将自己拷贝进去，然后下载更多恶意模块。它会利用 CVE-2016-5195 (ak Dirty COW) 和 CVE-2013-2094 两个提权漏洞获取 root 权限，完全访问操作系统。这两个漏洞都是几年前的了，因此影响的是没有打补丁的 Linux 系统。Linux.BtcMine.174 的主要恶意功能是挖掘数字货币门罗币，它会扫描进程寻找竞争的挖矿脚本将其进程终止，它的另一个恶意功能是 DDoS 攻击，攻击模块叫 Bill.Gates trojan。它还会关闭 Linux 杀毒软件。