近日，趨勢科技（Trend Micro）的研究人員在其部署的蜜罐系統中發現了一個此前從未見過的惡意腳本。初步分析表明，該腳本似乎是KORKERDS挖礦木馬的一個新變種，且同樣會在感染目标系統之後下載一個加密貨币挖礦腳本并将其植入到受感染系統中，然後使用crontab命令（常見于Unix和類Unix的操作系統之中，用于設置周期性被執行的指令）來實現随受感染系統重啟而自行啟動。

然而，進一步的分析讓研究人員卻得出了這樣一個結論——這個新變種并非來自KORKERDS的原開發人員，而是有人抄襲了他的代碼。

之所以得出這樣一個結論，是因為這個新變種會在感染目标系統後删除大量已安裝惡意軟件、挖礦腳本和其他與挖礦服務相關的端口和鍊接，而這些惡意軟件、挖礦腳本以及端口和鍊接全都與原始KORKERDS木馬相關。

也就是說，這位KORKERDS新變種的開發人員不僅抄襲了KORKERDS原開發人員的代碼，而且還會删除與此前已經進入受感染系統的KORKERDS木馬相關的惡意軟件、挖礦腳本以及端口和鍊接，以使其無法執行挖礦操作。

圖1.在蜜罐系統中發現的惡意腳本

研究人員表示，這個新變種實際上是基于2018年11月的KORKERDS變種修改而來的。與原始KORKERDS木馬相比，它不會卸載受感染系統中已安裝的殺毒軟件，也不會安裝Rootkit（一種特殊的惡意軟件，它的功能是在安裝目标上隐藏自身及指定的文件、進程和網絡鍊接等信息，比較多見到的是Rootkit一般都和木馬、後門等其他惡意程序結合使用）。

相反，原始KORKERDS木馬植入的挖礦腳本和Rootkit全都在它的“必殺名單”中。簡單來說，它會删除和殺死與原始KORKERDS木馬相關的所有組件和挖礦進程。

圖2.新舊KORKERDS變種對比

如上所述，這個新變種同樣會在感染目标系統之後下載一個加密貨币挖礦腳本并将其植入到受感染系統。分析表明，由它下載的挖礦腳本實際上是XMR-Stak的一個修改版本，可利用CPU、AMD、GPU等資源進行加密貨币挖礦操作。

研究人員對感染過程的分析發現，這個新變種首先會從一些IP攝像頭和web服務在TCP 8161端口上上傳crontab文件：

該crontab文件被用于下載和運行一個被命名為“1.jpg”的shell 腳本，并啟用3個函數：函數B、函數D和函數C。

• 函數B負責删除此前已安裝的惡意軟件、加密貨币腳本以及所有相關的服務，然後創建新的目錄、文件，并阻斷與已知相關IP地址的連接。

圖3. 删除已安裝的惡意軟件、加密貨币腳本和相關服務

• 函數D負責從hxxp://yxarsh.shop/64下載加密貨币挖礦腳本并安裝。
• 函數C負責從hxxp://yxarsh.shop/0下載腳本，并保存為/usr/local/bin/dns，然後創建新的crontab文件以在每天的淩晨1點調用此腳本。随後，從hxxp://yxarsh.shop/1.jpg下載“1.jpg”，并放入不同的crontab中：

接下來，通過 /bin/sh文件對文件的修改時間和最後訪問時間進行修改。

然後，将惡意軟件自身植入到系統中，以确保在受感染系統重啟或自身被删除後仍然可以駐留在系統，将日志文件内容修改為0：

與原始KORKERDS木馬相比，這個新變種簡化了用來下載和執行文件的程序，以及安裝加密貨币挖礦腳本到系統中的過程。

雖然大多數的代碼都來抄襲自原始KORKERDS木馬，但研究人員還是發現了一個明顯的區别——PUT URL /fileserver/vMROB4ZhfLTljleL和真實的crontab之間缺少一個鍊接，原始KORKERDS木馬是直接保存crontab，而新變種插入的是一個用于取回所有代碼和加密貨币挖礦腳本的crontab。

圖4. 抄襲自原始KORKERDS木馬的Python腳本代碼，用于傳播

對于任何一種計算機病毒而言，包含删除其他具有競争關系的病毒的功能并沒有什麼值得奇怪的。因為，删除具有競争關系的病毒是網絡犯罪分子最大化利益最常用的手段之一。但趨勢科技的研究人員表示，這還是他們首次觀察到有病毒會将另一種删除得如此徹底。

對于普通用戶而言，我們可以通過及時安裝最新發布的安全補丁來确保自己的系統免受此類病毒的侵害。另外，由于加密貨币挖礦木馬會占用大量的CPU和GPU資源，這會導緻系統運行非常緩慢，甚至是癱瘓。因此，我們很有必要實施多層保護機制來檢測、防禦和解決計算機病毒感染問題。