Trojan - kombajn BtcMine.174 atakuje systemy operacyjne Linux
Linux jest o wiele bezpieczniejszym systemem niż Windows choćby ze względu na fakt, że jest mniej popularny, a co za tym idzie rzadziej hakowany i mniej narażony na ataki. Jednak w miarę upływu czasu złośliwe oprogramowanie, którego celem jest system operacyjny spod znaku pingwina, coraz częściej trafia i na platformy z Linuxem. Co więcej, jest to zazwyczaj dość wymyślny i sprytny niebezpieczny software. Najnowszym przykładem tego trendu jest nowy trojan odkryty w tym miesiącu przez rosyjskiego producenta oprogramowania antywirusowego Dr.Web. Póki co jest on znany pod ogólną nazwą Linux.BtcMine.174. Wbrew nazwie nie zajmuje się niestety tylko kopaniem kryptowalut.
Dodatkowo składnik rootkita ma jeszcze inne niebezpieczne funkcje, takie jak "możliwość kradzieży haseł wprowadzonych przez użytkownika
Linux.BtcMine.174. to zły sen wszystkich posiadaczy Linuxa. Głównie z powodu mnóstwa złośliwych funkcji, które obejmuje. Trojan jest sporym skryptem składającym się z ponad 1000 linii kodu. Ten skrypt jest pierwszym plikiem wykonanym na zainfekowanym systemie. Pierwszą rzeczą, którą robi, jest znalezienie folderu na dysku, do którego ma uprawnienia do zapisu. Gdy trojan ma przyczółek w systemie, używa jednej z dwóch eskalacji uprawnień, wykorzystując CVE-2016-5195 (znany również jako Dirty COW ) i CVE-2013-2094, aby uzyskać uprawnienia root'a i mieć pełny dostęp do systemu operacyjnego. Po tym, jak trojan opanował zainfekowany host, przechodzi on dalej do wykonywania swojej podstawowej funkcji, dla której został zaprojektowany, czyli do kopania kryptowalut. W tym przypadku jest to Monreo.
Linuksowy podsystem w Windows z płatną dystrybucją WLinux
Pobiera również i uruchamia inny złośliwy program, znany jako trojan Bill.Gates. Jest to znany rodzaj szkodliwego oprogramowania służący między innymi do ataków DDoS, ale ma też wiele funkcji podobnych do backdoora. Jednak to nie wszystko. Trojan będzie również wyszukiwał nazwy procesów związane z rozwiązaniami antywirusowymi opartymi na systemie Linux i kończył je. Naukowcy Dr.Web twierdzą, że widzieli, jak trojan zatrzymuje procesy antywirusowe przy nazwach takich jak safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord. Dodatkowo składnik rootkita ma jeszcze inne niebezpieczne funkcje, takie jak "możliwość kradzieży haseł wprowadzonych przez użytkownika dla polecenia su oraz ukrywania plików w systemie połączeń sieciowych i uruchomionych procesów". Trojan uruchamia także funkcję zbierającą informacje o wszystkich zdalnych serwerach, które zainfekowany host łączył za pośrednictwem SSH.