該木馬本身是一個包含1000多行代碼的巨型shell腳本，也是能在受感染的Linux系統上執行的第一個文件。

它所做的第一件事，就是尋找磁盤上某個具有寫入權限的文件夾，這樣它就可以復制自己、然後用於下載其它模塊。

一旦木馬在受害系統上站穩了腳跟，就會利用CVE-2016-5195（又稱Dirty COW）和CVE-2013-2094兩個特權提升漏洞中的一種。

在獲取了root 權限之後，它就擁有了對操作系統的完整訪問權限，然後該木馬將自己設為本地守護進程。

如果程序尚不存在，它甚至可以自行下載nohup工具來實現這一點。在牢牢掌握了受感染的主機之後，它會繼續執行其設計的主要功能——加密貨幣挖礦！

此外，它還會下載並運行另一款惡意軟件—— 被稱作比爾·蓋茨木馬的DDoS 木馬—— 後者亦帶有許多類似的後門功能。

你以為這就完了？Dr. Web指出，Linux.BtcMine.174還會查找基於Linux的殺毒軟件進程名稱，並終止其執行。受害者包括：

safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及xmirrord 。

更加喪心病狂的是，惡意攻擊者對此還不滿意 ——甚至為自己製作了一份自動運行項文件，將之放到/etc/rc.local、/etc/rc.d/、/etc/cron .hourly等路徑，下載並運行rootkit 。

專家表示，該rootkit 組件在功能上更具侵入性，能夠竊取用戶在使用su 命令時輸入的密碼，並隱藏文件系統、網絡連接、以及運行進程中的文件。

此外，Linux.BtcMine.174會運行一個功能，收集有關受感染主機通過SSH連接的所有遠程服務器信息、並嘗試連接，以便將自身傳播到更多的系統。

這種SSH 自擴展機制，被認為是該木馬的主要分發渠道。

因其還依賴於竊取有效的SSH 憑據，意味著某些Linux 系統管理員即便再小心、正確地保護其服務器的SSH 連接、並且只允許特定數量的主機連接，他們也可能在不經意間感染其中一個、然後喜迎“惡意軟件全家桶”。

Dr.Web已在GitHub上晾出了該木馬各組件的SHA1文件哈希值，以方便系統管理員掃描他們的系統是否存在這種相對較新的威脅。

有關該惡意軟件的更多細節，可移步至這裡查看：

https://vms.drweb.com/virus/?i=17645163

[編譯自：ZDNet ]