drweb сообщает:
«Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.»
Теперь самая мякотка:
«вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.»
Видел файл-серверы с samba где установлен clamav, но linux-десктопа с антивирем не видел ни разу. Тем более хомяк обычно noexec, запустить что-то проблематично.
Перемещено tailgunner из talks