瑞星预警：CronRAT病毒深藏不露 恐成Linux重大隐患

近日，瑞星安全研究院发现一个专门针对Linux服务器又非常特别的病毒——“CronRAT”，该病毒最大特点是隐藏于Linux服务器系统日历计划任务Cron中，因此轻易不会被发现，并且躲避了许多安全产品的扫描。瑞星安全专家表示，CronRAT病毒具有执行任意程序的危害，因此广大用户应提高警惕。

瑞星安全专家在借鉴了Sansec团队的分析后表示，Cron是Linux服务器系统的日历计划任务，在Linux系统中只要是有效格式，即使日历中不存在日期（例如：2月31日），也是可以被设定的，而攻击者就是利用这一特点，将CronRAT病毒藏匿于不存在的日期中，以躲避服务器管理员的注意，同时逃避安全产品的扫描。

通过分析可以看出，CronRAT病毒读取Crontab任务，设置了特定的日期“52 23 31 2 3”，通过base64以及混淆将恶意软件代码隐藏其中，虽然这个特定的日期在语法上有效，但在执行时会生成运行时错误，因此永远不会被执行，因为该日期实际对应的时间是2月31日。

图：来自Sansec分析提供的Crontab任务读取函数

而攻击者则利用这一特点，不仅将CronRAT病毒藏匿起来，躲避安全软件的扫描，还可以通过一个无害的bash脚本，单纯的从计划任务中取出恶意代码，进而执行任意程序，因此CronRAT病毒成为Linux操作系统中的一个极大隐患。

瑞星安全专家表示，虽然目前国内尚未发现该病毒，但由于使用Linux操作系统的企业不在少数，因此CronRAT病毒需要被格外关注。同时瑞星安全专家也提出以下几点防范建议，供广大用户参考：

1.定期检查系统和应用漏洞并及时修复，以防范攻击者利用漏洞获取系统权限；

2.SSH等远程登录，不设置使用弱口令，以防范可能存在的暴力破解威胁；

3.管理员可对于该类病毒排查Cron计划任务中存在的可疑且无效的日期；

4.瑞星旗下多款产品可有效查杀Linux系统中各类恶意软件，广大用户可安装使用。