无标题文档
当前位置:

首页病毒预警

病毒预报 第八百九十八期

2021-08-31文章来源:网络与教育技术中心

    国家计算机病毒应急处理中心通过对互联网的监测,发现TeamTNT挖矿木马的新变种正在针对Linux平台云服务主机进行攻击。与此前版本相比,该变种去除了部分与挖矿功能无关的边缘功能代码,进一步聚焦于挖矿作业,为了提高持久性和独占系统资源挖矿,该变种在清除竞品木马、持久化和进程隐藏等方面做出功能改进。 TeamTNT挖矿木马于2020年11月被首次发现,该木马通常会通过批量扫描公网上开放2375端口的云服务器获取攻击目标,之后利用Docker Remote API未授权访问漏洞对云服务器进行攻击并植入挖矿木马,利用系统运算处理能力恶意挖掘门罗币,获取经济利益。 报告称,此次发现的TeamTNT挖矿木马变种主要使用“b.sh”、“iss.sh”、“scan”和“rss.sh”等4个脚本文件实施恶意操作。其特点如下:一是在清除竞品挖矿进程后,使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件;二是通过计划任务、系统服务、用户profile文件等多种方式进行持久化设置;三是篡改系统ps、top、pstree等命令,隐藏自身木马进程;四是篡改系统与重启相关的命令和服务,防止用户重启主机;五是改用Redis未授权访问漏洞对云服务器进行横向攻击传播。

 

  联系方式:

  国家计算机病毒应急处理中心 

  计算机病毒防治产品检验中心 

无标题文档

CopyRight©海南热带海洋学院网络与教育技术中心 All Rights Reserved

电话:
0898-88651886(网络报修)
0898-88557675(系统账号问题)
邮箱:
nic@hntou.edu.cn
地址:
海南省三亚市育才路1号海南热带海洋学院教学楼6栋2层