9188安全吗·两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络

9188安全吗·两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络

9188安全吗,e安全6月10日讯 俄罗斯反病毒开发商dr. web公司的恶意软件研究人员们已经发现了两款新型linux恶意软件,分别名为kinux.muldrop.14和linux.proxym。

kinux.muldrop.14:主要用于挖掘加密货币

根据dr. web公司介绍,kinux.muldrop.14的能够感染树莓派(raspberry pi)设备以借此实现加密货币挖掘。该恶意软件于今年5月份被首次发现,研究人员们找到了一套包含压缩与加密应用程序的脚本。

kinux.muldrop.14主要针对具备ssh外部开放端口的非安全树莓派设备。

此linux恶意软件为一款包含采矿程序的bash脚本,其利用gzip压缩并配合base64加密机制。一旦被启用,该脚本将关闭多个进程并安装其操作所需要的库。

一旦此linux恶意软件成功感染设备,其即会首先修改“pi”帐户的密码内容:

\$6\$u1nu9qcp\$fhpuo8s5psqlh6lwudtwfcaupnzmr0pwcdnjj.p6l4mzi8s867ylmc7bspmeh95povxpq3pzp029yt1l3yi6k1

另外,该恶意软件会关闭多项进程并安装zmap以及sshpass等库。

在此之后,该恶意软件会启动一个加密货币挖掘进程,并利用zmap扫描互联网以寻找其它可资感染的设备。

当此linux恶意软件在互联网上找到某一台树莓派设备时,其会利用sshpass以尝试使用默认用户名“pi”及默认密码“raspberry”进行登录。

该恶意软件只会尝试使用数个值,这表明其专门针对raspberry pi设备。专家们认为,此恶意软件可实现进一步改进,从而在未来几周内用于攻击其它平台。

以下为dr. web公司公布的代码片段:

name=`mktemp -u 'xxxxxxxx'`

while [ true ]; do

file=`mktemp`

zmap -p 22 -o $file -n 100000

killall ssh scp

for ip in `cat $file`

do

done

rm -rf $file

sleep 10

done

linux.proxym:用于创建代理网络

下图所示为dr. web公司安全专家们所确定的linux.proxym攻击活动数量。

该恶意代码会在受感染设备上创建一套socks代理服务器,并将其用于中继恶意流量以掩饰真实来源。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

责编:佚名