Россияне нашли ПО для майнинга, которое убивает антивирусы и майнеров-конкурентов

Криптокомбайн Эксперты российской компании Dr. Web обнаружили новыйкриптомайнер под Linux, для которого характерна многокомпонентная структура иширокий диапазон функций. Среди прочего, эта вредоносная программа можетзаражать другие сетевые устройства и удалять работающие в системе антивирусы.Кроме того, она удаляет из системы другие программы для майнинга криптовалют. Криптомайнер, получивший обозначение Linux.BtcMine.174,представляет собой большой сценарий, написанный на языке командной оболочки shи содержащий более 1000 строк кода. При первом запуске троянец проверяет доступность сервера, скоторого он впоследствии скачивает другие модули, и ищет на диске папку справами на запись, в которую и будут загружены эти модули. После этого сценарий перемещается в ранее подобранную папкус именем diskmanagerd и повторно запускается в качестве так называемого демона.Для этого троянец использует утилиту nohup. Если ее в системе нет, онсамостоятельно загружает и устанавливает пакет утилит coreutils, в который втом числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов В случае успешной установки на устройство вредоносныйсценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этогосемейства позволяют выполнять поступающие от злоумышленников команды ипроводить DDoS-атаки. Конкурентам здесь неместо Установившись в системе, Linux.BtcMine.174 ищетконкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от именисуперпользователя (root), для повышения своих привилегий в зараженной системеон использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимумдва: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) иLinux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходникиDirtyCow троянец компилирует прямо на зараженной машине. Dirty COW — весьма известная уязвимость в ядре Linux,позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г.,она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). Вверсиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч,датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017г. вышел новый патч. При этом Dirty COW до сих пор активно эксплуатируется, и,как можно заметить, небезуспешно. Антивирусам бой Среди прочего Linux.BtcMine.174 способен убивать антивирусы,функционирующие в системе. Для этого он пытается отыскать работающие сервисыантивирусных программ с именами safedog,aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd,drweb-configd, drweb-spider-kmod,esets, xmirrord. В случае их обнаружения троянец не просто завершает процессантивируса, но «выкорчевывает» все файлы и директорию, в которой был установленантивирусный продукт, с помощью пакетных менеджеров. Затем Linux.BtcMine.174 регистрирует себя в автозагрузке,после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан наисходном коде, который ранее был опубликован в свободном доступе. Руткитспособен красть вводимые пользователем пароли, скрывать файлы в файловойсистеме и т. д. Троянец также собирает информацию о сетевых узлах, к которымранее подключались по протоколу SSH, и пробует заразить их. По всей видимости,это основной способ распространения вредоноса. Выполнив все эти действия, Linux.BtcMine.174 запускает всистеме майнер, предназначенный для добычи криптовалюты Monero (XMR).Функционирование майнера производится раз в минуту, при необходимости программаперезапускает его заново. Соединения с управляющим сервером непрерывны, что втеории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Webопубликовали все известные к настоящему времени индикаторы заражения. «Данная вредоносная программа выглядит как попытка создатькриптомайнер с исчерпывающим набором функций, обеспечивающих постоянное егофункционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационнойбезопасности компании “Информационные технологии будущего”. — Судя по всемузлоумышленники в основном рассчитывали на использование майнером рабочихстанций и серверов, обслуживанием которых занимаются мало, если занимаются вообще.Данный майнер особенно и не пытается скрывать свое присутствие в системе:исчезновение антивируса из регулярно используемой машины будет замечено оченьбыстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы вотношении вычислительных мощностей, и уже этим быстро выдают себя». Ссылка на источник