目前,趋势微还没有确定恶意软件--他们将其命名为KORKERDS--感染系统的方式,但他们不相信最近的这波感染是入侵性大规模黑客活动的结果。
相反,研究人员认为,骗子正在使用经过修改的有毒Linux应用程序,在安装合法应用程序的过程中悄悄下载和安装KORKERDS密码。哪个应用程序?趋势微还没有弄清楚这一点。
但研究人员说,他们最近分析过的KORKERDS样本不仅仅是安装了Monero Miner--还下载和安装了一个rootkit,他们将其描述为“一个稍微修改了/重新使用的公开代码版本”。
除了允许KORKERDS重新启动操作系统之外,rootkit组件还包含了一个稍微奇怪的特性。
趋势微表示,KORKERDS的作者修改了Rootkit,以将密码器的主要进程隐藏在Linux的本地进程监控工具中。
研究人员说:“rootkit连接libc库的readdir和readDi 64应用程序编程接口(API)。”“rootkit将通过用rootkit自己版本的readdir替换普通readdir文件来覆盖普通库文件。”
此恶意版本的Readdir通过隐藏命名"克劳尔"的进程而工作-在这种情况下是“CryptoMiner”进程。
Linux进程监视工具仍将显示100%的CPU使用率,但管理员无法看到(和删除)KWorkerDS进程,导致CPU资源消耗问题。
Linux进程监视工具显示100%的cpu使用率,但kworkerds进程负责此问题。
趋势微公司的KORKERDS报告包含了恶意软件感染例程的技术分类,包括文件名、进程和文件哈希,Linux用户可能对跟踪和调试可能受到感染的系统感兴趣。
基于KORKERDS是在合法应用程序中发布的事实,这也表明恶意软件也可能对Linux桌面用户构成威胁,而不仅仅是对服务器构成威胁,因为在过去两年里,几乎所有的Linux密码都在服务器上被观察到。
Linux用户不是那些被卑鄙的密码挖掘恶意软件攻击目标的用户。TrendMicro还发布了关于另一个恶意软件菌株的第二次报告,该菌株针对Windows用户,并且还使用了各种技术,试图尽可能在受感染的系统中保持隐藏。
君子莲(www.junzilian.com)湘潭网,关注长株潭地区房产、人才招聘、教育、创业、旅游、美食、天气、特产、生活周边信息,欢迎投稿给我们!
