Обнаружено ПО для майнинга, которое убивает антивирусы и майнеров-конкурентов

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Источник: CNEWS

Comments are closed, but trackbacks and pingbacks are open.