俄羅斯Dr.Web反惡意軟體製造商發現了一種新的Linux下惡意軟體，該惡意軟體體現在一個特洛伊木馬程式中，可以作為加密貨幣挖礦軟體，也可以作為DDoS後門程式和rootkit等其他惡意軟體有效負載的通道。

Dr.Web團隊為新木馬病毒命名為Linux.BtcMine.174，是一個1000行shell指令碼，它帶有多個模組，可以下載並寫入任何具有寫入許可權的資料夾。

一旦它設法在受感染的計算機上轉儲額外的惡意軟體負載，Linux.BtcMine.174將使用nohup POSIX實用程式將其自身作為守護程式啟動，將其輸出重定向到nohup.out檔案以使檢測更加困難。

在將自身作為服務安裝後，特洛伊木馬會下載Linux.BackDoor.Gates.9特洛伊木馬有效負載，使其主機可以控制受感染的計算機並使用它來執行DDoS攻擊。

因為在破壞其Linux目標後，特洛伊木馬在當前使用者的特權下執行，幾乎從不是管理員帳戶，Linux.BtcMine.174使用Linux.Exploit.CVE-2016-5195（稱為DirtyCow）和Linux等漏洞。 Exploit.CVE-2013-2094升級其許可權並完全接管Linux機器。

一旦它在受感染裝置上獲得root許可權，就開始搜尋任何AntiMalware解決方案，在找到時終止它們的程序，並使用包管理器完全解除安裝它們。

Linux.BtcMine.174還竊取root密碼並通過SSH自動傳播

特洛伊木馬還會追捕它可以在機器上執行的任何加密礦工，終止他們的程序以避免共享系統的計算資源。一旦完成“清理”任何採礦競爭對手的裝置，Linux.BtcMine.174將下載Monero（XMR）挖掘指令碼並開始工作。

挖掘過程開始後，惡意軟體將確保它始終保持執行，每隔幾分鐘在無限迴圈中檢查其心跳並在需要時重新啟動它。

為了讓受害者更加糟糕，特洛伊木馬還會將自己新增到機器的Autorun中，並下載一個能夠在系統中的任何位置隱藏檔案的rootkit，更重要的是，竊取“使用者輸入的su命令密碼”。

在感染過程的最後階段，Linux.BtcMine.174特洛伊木馬程式開始使用SSH檢視受感染機器所有者過去連線到的網路上可用的所有主機，並嘗試連線並感染每個主機。

有關針對Linux系統的新木馬菌株內部工作原理的更多詳細資訊可在Dr.Web的病毒資料庫中獲得，同時GitHub上也提供了所有發現的危害指標的完整列表。