新的加密挖矿恶意软件攻击Linux机器，杀死其他挖矿软件和反恶意

俄罗斯Dr.Web反恶意软件制造商发现了一种新的Linux下恶意软件，该恶意软件体现在一个特洛伊木马程序中，可以作为加密货币挖矿软件，也可以作为DDoS后门程序和rootkit等其他恶意软件有效负载的通道。

Dr.Web团队为新木马病毒命名为Linux.BtcMine.174，是一个1000行shell脚本，它带有多个模块，可以下载并写入任何具有写入权限的文件夹。

一旦它设法在受感染的计算机上转储额外的恶意软件负载，Linux.BtcMine.174将使用nohup POSIX实用程序将其自身作为守护程序启动，将其输出重定向到nohup.out文件以使检测更加困难。

在将自身作为服务安装后，特洛伊木马会下载Linux.BackDoor.Gates.9特洛伊木马有效负载，使其主机可以控制受感染的计算机并使用它来执行DDoS攻击。

因为在破坏其Linux目标后，特洛伊木马在当前用户的特权下运行，几乎从不是管理员帐户，Linux.BtcMine.174使用Linux.Exploit.CVE-2016-5195（称为DirtyCow）和Linux等漏洞。 Exploit.CVE-2013-2094升级其权限并完全接管Linux机器。

一旦它在受感染设备上获得root权限，就开始搜索任何AntiMalware解决方案，在找到时终止它们的进程，并使用包管理器完全卸载它们。

Linux.BtcMine.174还窃取root密码并通过SSH自动传播

特洛伊木马还会追捕它可以在机器上运行的任何加密矿工，终止他们的进程以避免共享系统的计算资源。一旦完成“清理”任何采矿竞争对手的设备，Linux.BtcMine.174将下载Monero（XMR）挖掘脚本并开始工作。

挖掘过程开始后，恶意软件将确保它始终保持运行，每隔几分钟在无限循环中检查其心跳并在需要时重新启动它。

为了让受害者更加糟糕，特洛伊木马还会将自己添加到机器的Autorun中，并下载一个能够在系统中的任何位置隐藏文件的rootkit，更重要的是，窃取“用户输入的su命令密码”。

在感染过程的最后阶段，Linux.BtcMine.174特洛伊木马程序开始使用SSH查看受感染机器所有者过去连接到的网络上可用的所有主机，并尝试连接并感染每个主机。

有关针对Linux系统的新木马菌株内部工作原理的更多详细信息可在Dr.Web的病毒数据库中获得，同时GitHub上也提供了所有发现的危害指标的完整列表。