近日，瑞星安全研究院發(fā)現(xiàn)一個(gè)專門針對(duì)Linux服務(wù)器又非常特別的病毒——“CronRAT”，該病毒最大特點(diǎn)是隱藏于Linux服務(wù)器系統(tǒng)日歷計(jì)劃任務(wù)Cron中，因此輕易不會(huì)被發(fā)現(xiàn)，并且躲避了許多安全產(chǎn)品的掃描。瑞星安全專家表示，CronRAT病毒具有執(zhí)行任意程序的危害，因此廣大用戶應(yīng)提高警惕。

　　瑞星安全專家在借鑒了Sansec團(tuán)隊(duì)的分析后表示，Cron是Linux服務(wù)器系統(tǒng)的日歷計(jì)劃任務(wù)，在Linux系統(tǒng)中只要是有效格式，即使日歷中不存在日期（例如：2月31日），也是可以被設(shè)定的，而攻擊者就是利用這一特點(diǎn)，將CronRAT病毒藏匿于不存在的日期中，以躲避服務(wù)器管理員的注意，同時(shí)逃避安全產(chǎn)品的掃描。

　　通過(guò)分析可以看出，CronRAT病毒讀取Crontab任務(wù)，設(shè)置了特定的日期“52 23 31 2 3”，通過(guò)base64以及混淆將惡意軟件代碼隱藏其中，雖然這個(gè)特定的日期在語(yǔ)法上有效，但在執(zhí)行時(shí)會(huì)生成運(yùn)行時(shí)錯(cuò)誤，因此永遠(yuǎn)不會(huì)被執(zhí)行，因?yàn)樵撊掌趯?shí)際對(duì)應(yīng)的時(shí)間是2月31日。

　

　　圖：來(lái)自Sansec分析提供的Crontab任務(wù)讀取函數(shù)

　　而攻擊者則利用這一特點(diǎn)，不僅將CronRAT病毒藏匿起來(lái)，躲避安全軟件的掃描，還可以通過(guò)一個(gè)無(wú)害的bash腳本，單純的從計(jì)劃任務(wù)中取出惡意代碼，進(jìn)而執(zhí)行任意程序，因此CronRAT病毒成為L(zhǎng)inux操作系統(tǒng)中的一個(gè)極大隱患。