Dr.Web ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสของรัสเซียเปิดเผยข้อมูลเกี่ยวกับโทรจันตัวใหม่ชื่อว่า Linux.BtcMine.174 โดยมีเป้าหมายในการโจมตีไปยังระบบปฏิบัติการ Linux
โทรจันดังกล่าวเขียนด้วย shell script มากกว่า 1,000 บรรทัด สิ่งแรกที่สคริปต์ทำคือการค้นหาโฟลเดอร์บนดิสก์ที่มีสิทธิ์เขียนเพื่อให้สามารถคัดลอกตัวเองและใช้ในการดาวน์โหลดโมดูลอื่น ๆ ได้ภายหลัง เมื่อโทรจันดังกล่าวสามารถเข้าถึงระบบได้สำเร็จจะทำการยกระดับสิทธิ์โดยอาศัยช่องโหว่ CVE-2016-5195 (หรือที่เรียกว่า Dirty COW) และ CVE-2013-2094 เพื่อให้ได้สิทธิ์ root และสามารถเข้าถึง OS ได้อย่างเต็มที่ หลังจากนั้นโทรจันดังกล่าวจะย้ายไปปฎิบัติงานหลักที่ถูกออกแบบมาในการทำ cryptocurrency mining โทรจันจะเริ่มจากทำการสแกนและยุติกระบวนการของ cryptocurrency-mining อื่นๆ และทำการดาวน์โหลดและเริ่มต้นทำการทำงานของ Monero-mining ที่ออกแบบไว้
นอกจากนี้โทรจันดังกล่าวจะทำการสแกนและหยุดกระบวนการทำงานของโปรแกรมป้องกันไวรัสของระบบปฏบัติการ Linux จากการตรวจสอบของนักวิจัยสามารถระบุได้ว่าโทรจันดังกล่าวสามารถหยุดกระบวนการทำงานของโปรแกรมป้องกันไวรัสที่มีชื่อได้อาทิ safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets และ xmirrord
โทรจันยังสามารถเพิ่มตัวเองเป็น autorun กับไฟล์เช่น / etc / rc.local, /etc/rc.d/ ... , และ / etc / cron.hourly; เพื่อดาวน์โหลดและรัน rootkit ซึ่งมีความสามรถในการขโมยรหัสผ่านจากผู้ใช้งานเมื่อผู้ใช้งานพยายามพิมพ์ su command เพื่อซ่อนไฟล์ใน file system
Dr.Web ได้อัปโหลดไฟล์ SHA1 ของโทรจันไว้บน GitHub ในกรณีที่ผู้ดูแลระบบต้องการสแกนระบบของตัวเองเพื่อหาภัยคุกคามดังกล่าว สามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับการวิเคราะห์จาก Dr.Web เกี่ยวกับ Linux.BtcMine.174 ได้จาก vms.drweb.com
ที่มา:zdnet.com
You must be logged in to post a comment.