StartMiner于2020年2月被發(fā)現(xiàn)，由于其進(jìn)程及定時(shí)任務(wù)中包含2start.jpg字符串而得名，該病毒通過(guò)ssh進(jìn)行傳播，其特點(diǎn)是會(huì)創(chuàng)建多個(gè)包含2start.jpg字符串的惡意定時(shí)任務(wù)。

 

其通過(guò)SSH傳播的新型Linux挖礦木馬，該木馬通過(guò)在服務(wù)器上創(chuàng)建多個(gè)定時(shí)任務(wù)、多個(gè)路徑釋放功能模塊的方式進(jìn)行駐留，并存在SSH暴力破解模塊，下載并運(yùn)行開(kāi)源挖礦程序。由于下載的木馬母體名字為2start.jpg，該木馬通過(guò)多個(gè)途徑駐留從C&C端下載運(yùn)行母體的命令，非常易于進(jìn)行病毒更新。

 

中毒現(xiàn)象：

1、定時(shí)任務(wù)里有包含2start.jpg的字符串。

2、/tmp/目錄下存在名為x86_的病毒文件。

3、/etc/cron.d出現(xiàn)多個(gè)偽裝的定時(shí)任務(wù)文件：apache、nginx、root。

 

清除步驟：

1、結(jié)束挖礦進(jìn)程x86_。

2、刪除所有帶有2start.jpg字符串的定時(shí)任務(wù)。

3、清除所有帶有2start.jpg字符串的wget進(jìn)程。