針對 Linux 平臺的惡意軟件，可能不像 Windows 平臺那么普遍。但隨著時間的推移，它們正在變得越來越復雜、功能也更加多樣。近日，俄羅斯反病毒軟件廠商 Dr.Web 發現了一種新型木馬。鑒于其沒有特定的應用程序名，所以暫且用Linux.BtcMine.174 來指代。與大多數 Linux 惡意軟件相比，它的復雜程度明顯要更高，因為其中包含了大量的惡意功能。

該木馬本身是一個包含 1000 多行代碼的巨型 shell 腳本，也是能在受感染的 Linux 系統上執行的第一個文件。

它所做的第一件事，就是尋找磁盤上某個具有寫入權限的文件夾，這樣它就可以復制自己、然后用于下載其它模塊。

一旦木馬在受害系統上站穩了腳跟，就會利用 CVE-2016-5195（又稱 Dirty COW）和 CVE-2013-2094 兩個特權提升漏洞中的一種。

在獲取了 root 權限之后，它就擁有了對操作系統的完整訪問權限，然后該木馬將自己設為本地守護進程。

如果程序尚不存在，它甚至可以自行下載 nohup 工具來實現這一點。在牢牢掌握了受感染的主機之后，它會繼續執行其設計的主要功能 —— 加密貨幣挖礦！

此外，它還會下載并運行另一款惡意軟件 —— 被稱作比爾·蓋茨木馬的 DDoS 木馬 —— 后者亦帶有許多類似的后門功能。

你以為這就完了？Dr. Web 指出，Linux.BtcMine.174 還會查找基于 Linux 的殺毒軟件進程名稱，并終止其執行。受害者包括：

safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。

更加喪心病狂的是，惡意攻擊者對此還不滿意—— 甚至為自己制作了一份自動運行項文件，將之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路徑，下載并運行 rootkit 。

專家表示，該 rootkit 組件在功能上更具侵入性，能夠竊取用戶在使用 su 命令時輸入的密碼，并隱藏文件系統、網絡連接、以及運行進程中的文件。

此外，Linux.BtcMine.174 會運行一個功能，收集有關受感染主機通過 SSH 連接的所有遠程服務器信息、并嘗試連接，以便將自身傳播到更多的系統。

這種 SSH 自擴展機制，被認為是該木馬的主要分發渠道。

因其還依賴于竊取有效的 SSH 憑據，意味著某些 Linux 系統管理員即便再小心、正確地保護其服務器的 SSH 連接、并且只允許特定數量的主機連接，他們也可能在不經意間感染其中一個、然后喜迎“惡意軟件全家桶”。

Dr.Web 已在GitHub上晾出了該木馬各組件的 SHA1 文件哈希值，以方便系統管理員掃描他們的系統是否存在這種相對較新的威脅。

有關該惡意軟件的更多細節，可移步至這里查看：

https://vms.drweb.com/virus/?i=17645163