Новый троянец-майнер для Linux удаляет антивирусы

Тайная добыча криптовалют с использованием ресурсов компьютера без ведома его владельца — один из наиболее распространенных сегодня способов криминального заработка. Компания «Доктор Веб» рассказала об обнаруженном недавно майнере, способном инфицировать устройства под управлением ОС Linux. Эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Эта вредоносная программа состоит из нескольких компонентов.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов. Вирусные аналитики «Доктор Веб» выявили как минимум два применяемых Linux.BtcMine.174 эксплойта: это Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из Интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троянец собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту троянец проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365