Новый мультифункциональный Linux-вредонос может майнить криптовалюту
Главная » Новости

Новый мультифункциональный Linux-вредонос может майнить криптовалюту

Олег Иванов 26 Ноября 2018 - 12:30
...
Новый мультифункциональный Linux-вредонос может майнить криптовалюту

Вредоносные программы для систем Linux становятся все более изощренными и функциональными — в качестве примера можно привести новый троян, обнаруженный специалистами антивирусной компании «Доктор Веб». В отличии от других вредоносов под Linux, получивший имя Linux.BtcMine.174 зловред обладает множеством вредоносных возможностей, среди которых есть криптомайнинг.

Троян представляет собой огромный шелл-скрипт, состоящий из более чем 1000 строк кода. Первым делом этот скрипт находит на диске папку, к которой может получить доступ на запись. После этого он копирует себя в эту папку, а затем загружает дополнительные модули.

После окончательного укоренения в системе вредоносная программа попытается использовать уязвимости эскалации привилегий — CVE-2016-5195 (Dirty COW) и CVE-2013-2094, чтобы получить root-права и, следовательно, полный контроль над системой.

Далее троян регистрирует себя в качестве локального «демона» и даже скачивает для этого утилиту nohup, если ее на момент заражения нет в системе.

Затем уже зловред начинает выполнять вредоносные действия, для которых он и был разработан — криптовалютный майнинг на зараженном устройстве. Для начала Linux.BtcMine.174 ищет и завершает процессы других майнеров-оппонентов. После этого на компьютер жертвы загружается модуль для добычи цифровой валюты Monero.

Примечательно, что вредонос также загружает в систему троян Bill.Gates — известное семейство злонамеренных программ, ориентированное на DDoS-операции. Также Bill.Gates обладает возможностями бэкдора.

Но и это еще не все. Linux.BtcMine.174 пытается отыскать в системе процессы известных ему антивирусных программ, если ему это удается, выполняется завершение этих процессов. По словам аналитиков «Доктор Веб», зловред также копирует себя в etc/rc.local, /etc/rc.d/... и /etc/cron.hourly для обеспечения автозагрузки.

Эксперты опубликовали на GitHub SHA1-хеши компонентов трояна, а также подробный анализ вредоносной программы.

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Android-трояны в России маскируют под приложения для таксистов и курьеров
Новость
Android-трояны в России маскируют под приложения для таксист...
Минфин РФ отказался от идеи вернуть НДС на отечественный софт
Новость
Минфин РФ отказался от идеи вернуть НДС на отечественный соф...
Pornhub просит Apple и Google перейти к проверке возраста на устройствах
Новость
Pornhub просит Apple и Google перейти к проверке возраста на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.