Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ພົບມັນແວຕົວໃໝ່ ຫວັງໂຈມຕີຜູ້ໃຊ້ງານ Linux

ແຈ້ງເຕືອນ ພົບມັນແວຕົວໃໝ່ ຫວັງໂຈມຕີຜູ້ໃຊ້ງານ Linux
Dr.Web ຜູ້​ໃຫ້​ບໍລິການ Antivirus ຈາກ​ຣັດ​ເຊຍ​ໄດ້​ພົບ​ມັນ​ແວ​​ໂທຣ​ຈັນ​ຕົວ​ໃໝ່​ທີ່​ມີ​ຄວາມ​ສາມາດ​ຫຼາກ​ຫຼາຍ​ ແລະ​ ໂຈມ​ຕີ​ຢູ່​ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ຢ່າງໃດ​ກໍ​ຕາມ​ຍັງ​ບໍ່​ມີ​ການຕັ້ງ​ຊື່​​ຢ່າງ​ເປັນ​ທາງ​ການ ​ພຽງ​ແຕ່​ໃຫ້​ຊື່​ຕິດ​ຕາມ​ວ່າ  ‘LinuxBtcMine174’ ໂດຍ​ຈຸດ ປະສົງ​ຄື​ການ​ຝັງ​ຕົວ​ ແລະ ​ຂຸດ​ເໝືອງ​ເທິງ​ເຄື່ອງ​ຜູ້​ໃຊ້​ງານ ອີກ​ທັງ​ຍັງ​ສາມາດ​ຄົ້ນ​ຫາ​ເຄື່ອງ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັນ​ຜ່ານ​ທາງ SSH ໄດ້​ອີກ​ດ້ວຍ.


LinuxBtcMine174 ເປັນ​ມັນ​ແວ​ເທິງ Linux ທີ່​ມີ​ຄວາມ​ສາມາດ​ປະຕິບັດການ​ຄົບ​ຊຸດກວ່າ​ມັນ​ແວ​​ທົ່ວ​ໄປ ​ຊຶ່ງ​ເລີ່ມ​ດ້ວຍ​ໂຄ້​ດ (Code) ​ຍາວ​ກວ່າ 1,000 ບັນ​ທັດ​ທີ່​ຈະ​ຖືກປະຕິບັດ  (Execute) ໃນ​ເຄື່ອງ​ທີ່​ຕິດ​ມັນ​ແວ​ ​ແລະ ​ສິ່ງ​ທີ່​ພົບ​ຄື:


  1. ມັນ​ແວ​ຈະ​ເຂົ້າໄປ​ຫາ​ໂຟນ​ເດີ​ເທິງ​ດິ​ສ​ທີ່​ມີ​ສິດ​ຂຽນ​ເພື່ອຈະ​ເຮັດ​ສຳ​ເນົາ​ຕົວ​ເອງ ​ແລະ ​ໄຟ​ລ໌​ອື່ນ​ທີ່​ຈະ​ດາວ​​ໂຫຼດ​ຕາມ​ມາ​ເຂົ້າໄປ​ໄດ້;
  2. ໃຊ້ 2 ຊ່ອງ​ໂຫວ່​ເພື່ອ​ຍົກ​ລະດັບ​ສິດ​ເຂົ້າ​ເຖິງ​ທັງ​ລະບົບ​ຄື CVE-2016-5195 (ຊື່​ຮຽກ​ຄື Dirty COW) ແລະ CVE-2013-2094;
  3. ຕັ້ງ​ຕົວ​ເອງ​ເປັນ  Local Daemon (ຄຳ​ຮຽກ​ໂປຣ​ເຊດ “Process” ​ທີ່​ຣັນ​ຢູ່​ເບື້ອງ​ຫຼັງ​ໃນ​ລະບົບ Linux ຫລື Unix) ແລະ ​ດາວ​ໂຫຼດ nohub utilities;
  4. ສາມາດ​ຄົ້ນຫາ​ ແລະ ​ປິດ​ໂປຣ​ເຊດ​ຂອງ​ມັນ​ແວ​​ຄູ່​ແຂ່ງ (ຫຼາຍ​ຕົວ) ທີ່​ກຳ​ລັງ​ຂຸດ​ເໝືອງ​ຢູ່​ຈາກ​ນັ້ນ​ຈະ​ດາວ​​ໂຫຼດ ​ແລະ ​ເລີ່ມ​ຂຸດ​ເໝືອງ Monero ຂອງ​ຕົວ​ເອງ;
  5. ດາວ​​ໂຫຼດ​ໂທຣ​ຈັນ​ທີ່​ຊື່ BillGates ທີ່​ສາມາດ​ທຳການ DDoS ໄດ້​ເຂົ້າ​ມາ​ເພີ່ມ;
  6. ສາມາດ​ເບິ່ງ​ໂປຣ​ເຊດ​ທີ່​ອາດ​ເປັນ​ Antivirus ໄດ້​ຫຼາຍ​ຄ້າຍ​ ແລະ ປິດໂປຣ​ເຊດ​ເຫຼົ່າ​ນັ້ນ ຊຶ່ງ Dr.Web ພົ​ບ ວ່າ​ມັນ​ແວ​​ສາມາດ​ປິດ​ໂປຣ​ເຊດ ເຊັ່ນ Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ໄດ້;
  7. ເພີ່ມ​ຕົວ​ເອງ​ເຂົ້າໄປ​ໃນ​ສ່ວນ Autorun ເຊັ່ນ: /etc/rc.local, etc/rc.d, etc/cron.hourly ເປັນ​ຕົ້ນ​ເພື່ອ​ດາວ​​ໂຫຼດ​ ແລະ​ ຣັນ Rookit ຊຶ່ງ​ມີຄວາມສາມາດທີ່​ໜັກ​ໜ່ວງ​ກວ່າ ເຊັ່ນ: ລັກ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ຄຳ​ສັ່ງ Su ຂອງ​ຜູ້​ໃຊ້, ເຊື່ອງ​ໄຟ​ລ໌ ​ແລະ​ ການ​ເຊື່ອມ​ຕໍ່​ເຄື່ອ​ຂ່າຍ ທັງຫມົດ​ເຖິງ​ໂປຣ​ເຊດ​ທີ່​ຣັນ​ຢູ່​ໄດ້​ດ້ວຍ;
  8. ສາມາດ​ເກັບ​ຂໍ້​ມູນ​ຂອງ​ເ​ຊິ​ເວີ​ທີ່​ເຊື່ອມ​ຕໍ່​ຢູ່​ຜ່ານ SSH ໄດ້​ດ້ວຍ ລວມ​ເຖິງ​ມີ​ຄວາມ​ພະຍາຍາມ​ທີ່​ຈະ​ເຈາະ​ເຂົ້າໄປ​ທາງ​ນັ້ນ​ເພື່ອ​ແຜ່ກະ​ຈາຍ​ຕົວ​ເອງ​ໄປ​ຍັງ​ເຄື່ອງ​ອື່ນ​ອີກ​ດ້ວຍ.

         ຢ່າງໃດ​ກໍ​ຕາມ​ສຳລັບ​ຜູ້​ສົນ​ໃຈ​ທາງ Dr.Web ໄດ້​ອັບ​ໂຫຼດ SHA1 ຂອງ​ມັນ​ແວ​​ຕົວ​ນີ້​ໄວ້​ແລ້ວ​ເທິງ GitHub ລິ້ງຄື: https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174 ໃຫ້​ລອງ​ນຳ​ໄປ​ກວດ​ສອບ​ໄດ້.

ເອກະສານອ້າງອີງ: 

  1. https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/
  2. https://www.techtalkthai.com/new-cryptominer-on-linux-with-plenty-of-intrusive-features/
  3. https://vms.drweb.com/virus/?i=17645163

ລາຍການຮູບ

Porher 28 November 2018 1,327 Print