ແຈ້ງເຕືອນ ພົບມັນແວຕົວໃໝ່ ຫວັງໂຈມຕີຜູ້ໃຊ້ງານ Linux
Dr.Web ຜູ້ໃຫ້ບໍລິການ Antivirus ຈາກຣັດເຊຍໄດ້ພົບມັນແວໂທຣຈັນຕົວໃໝ່ທີ່ມີຄວາມສາມາດຫຼາກຫຼາຍ ແລະ ໂຈມຕີຢູ່ເທິງລະບົບປະຕິບັດການ Linux ຢ່າງໃດກໍຕາມຍັງບໍ່ມີການຕັ້ງຊື່ຢ່າງເປັນທາງການ ພຽງແຕ່ໃຫ້ຊື່ຕິດຕາມວ່າ ‘LinuxBtcMine174’ ໂດຍຈຸດ ປະສົງຄືການຝັງຕົວ ແລະ ຂຸດເໝືອງເທິງເຄື່ອງຜູ້ໃຊ້ງານ ອີກທັງຍັງສາມາດຄົ້ນຫາເຄື່ອງທີ່ເຊື່ອມຕໍ່ກັນຜ່ານທາງ SSH ໄດ້ອີກດ້ວຍ.
LinuxBtcMine174 ເປັນມັນແວເທິງ Linux ທີ່ມີຄວາມສາມາດປະຕິບັດການຄົບຊຸດກວ່າມັນແວທົ່ວໄປ ຊຶ່ງເລີ່ມດ້ວຍໂຄ້ດ (Code) ຍາວກວ່າ 1,000 ບັນທັດທີ່ຈະຖືກປະຕິບັດ (Execute) ໃນເຄື່ອງທີ່ຕິດມັນແວ ແລະ ສິ່ງທີ່ພົບຄື:
- ມັນແວຈະເຂົ້າໄປຫາໂຟນເດີເທິງດິສທີ່ມີສິດຂຽນເພື່ອຈະເຮັດສຳເນົາຕົວເອງ ແລະ ໄຟລ໌ອື່ນທີ່ຈະດາວໂຫຼດຕາມມາເຂົ້າໄປໄດ້;
- ໃຊ້ 2 ຊ່ອງໂຫວ່ເພື່ອຍົກລະດັບສິດເຂົ້າເຖິງທັງລະບົບຄື CVE-2016-5195 (ຊື່ຮຽກຄື Dirty COW) ແລະ CVE-2013-2094;
- ຕັ້ງຕົວເອງເປັນ Local Daemon (ຄຳຮຽກໂປຣເຊດ “Process” ທີ່ຣັນຢູ່ເບື້ອງຫຼັງໃນລະບົບ Linux ຫລື Unix) ແລະ ດາວໂຫຼດ nohub utilities;
- ສາມາດຄົ້ນຫາ ແລະ ປິດໂປຣເຊດຂອງມັນແວຄູ່ແຂ່ງ (ຫຼາຍຕົວ) ທີ່ກຳລັງຂຸດເໝືອງຢູ່ຈາກນັ້ນຈະດາວໂຫຼດ ແລະ ເລີ່ມຂຸດເໝືອງ Monero ຂອງຕົວເອງ;
- ດາວໂຫຼດໂທຣຈັນທີ່ຊື່ BillGates ທີ່ສາມາດທຳການ DDoS ໄດ້ເຂົ້າມາເພີ່ມ;
- ສາມາດເບິ່ງໂປຣເຊດທີ່ອາດເປັນ Antivirus ໄດ້ຫຼາຍຄ້າຍ ແລະ ປິດໂປຣເຊດເຫຼົ່ານັ້ນ ຊຶ່ງ Dr.Web ພົບ ວ່າມັນແວສາມາດປິດໂປຣເຊດ ເຊັ່ນ Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ໄດ້;
- ເພີ່ມຕົວເອງເຂົ້າໄປໃນສ່ວນ Autorun ເຊັ່ນ: /etc/rc.local, etc/rc.d, etc/cron.hourly ເປັນຕົ້ນເພື່ອດາວໂຫຼດ ແລະ ຣັນ Rookit ຊຶ່ງມີຄວາມສາມາດທີ່ໜັກໜ່ວງກວ່າ ເຊັ່ນ: ລັກລະຫັດຜ່ານໃນຄຳສັ່ງ Su ຂອງຜູ້ໃຊ້, ເຊື່ອງໄຟລ໌ ແລະ ການເຊື່ອມຕໍ່ເຄື່ອຂ່າຍ ທັງຫມົດເຖິງໂປຣເຊດທີ່ຣັນຢູ່ໄດ້ດ້ວຍ;
- ສາມາດເກັບຂໍ້ມູນຂອງເຊິເວີທີ່ເຊື່ອມຕໍ່ຢູ່ຜ່ານ SSH ໄດ້ດ້ວຍ ລວມເຖິງມີຄວາມພະຍາຍາມທີ່ຈະເຈາະເຂົ້າໄປທາງນັ້ນເພື່ອແຜ່ກະຈາຍຕົວເອງໄປຍັງເຄື່ອງອື່ນອີກດ້ວຍ.
ຢ່າງໃດກໍຕາມສຳລັບຜູ້ສົນໃຈທາງ Dr.Web ໄດ້ອັບໂຫຼດ SHA1 ຂອງມັນແວຕົວນີ້ໄວ້ແລ້ວເທິງ GitHub ລິ້ງຄື: https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174 ໃຫ້ລອງນຳໄປກວດສອບໄດ້.
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
