ZDreamST 2019-02-13
在恶意软件世界里,挖矿恶意程序已经成为一种新常态,新版本变得越来越复杂,能够更有效地隐藏进程,以避免被发现。
但安全厂商趋势科技(Trend Micro)最近遇到了一个新的Linux加密货币挖矿恶意程序,它的目的不仅是在用户不知情的情况下运行,而且还能清除在一个受到攻击的系统上发现的其他恶意软件和挖矿程序。
在对脚本的分析中,安全公司解释说,它使用来自KORKERDS的代码,并依赖crontabs来确保在重新启动后启动。
恶意软件用于传播的脚本下载了修改版的XMR-Stak,这是一个专门针对加密货币的加密货币挖掘工具,可以使用最多的CPU,以及用于其进程的NVIDIA和AMD的GPU进行处理。
使用所有可用资源
趋势科技解释说,病毒通过TCP端口8161上的IP摄像头和Web服务来攻击系统,攻击者使用该端口发送crontab文件以下载shell脚本。
一旦脚本到达目标设备,它将删除所有恶意软件、加密货币挖矿程序和与之相关的服务,试图将所有可用资源用于自己的挖掘任务。通过杀死系统上的其他矿商和恶意软件,脚本确保计算机的资源始终可用于其进程。
“虽然包含删除系统中其他恶意软件的恶意软件例程并不新鲜,但我们从未见过如此大规模地从系统中删除Linux恶意软件。消除竞争恶意软件只是网络犯罪分子利润最大化的一种方式,“趋势科技解释道。
与往常一样,保持系统最新并跟踪资源使用是保持对加密货币挖矿保护的最佳方式,因为它们通常使用所有可用资源并导致设备性能明显下降。