近日，瑞星安全研究院發(fā)現一個(gè)專(zhuān)門(mén)針對Linux服務(wù)器又非常特別的病毒——“CronRAT”，該病毒最大特點(diǎn)是隱藏于Linux服務(wù)器系統日歷計劃任務(wù)Cron中，因此輕易不會(huì )被發(fā)現，并且躲避了許多安全產(chǎn)品的掃描。瑞星安全專(zhuān)家表示，CronRAT病毒具有執行任意程序的危害，因此廣大用戶(hù)應提高警惕。

　　瑞星安全專(zhuān)家在借鑒了Sansec團隊的分析后表示，Cron是Linux服務(wù)器系統的日歷計劃任務(wù)，在Linux系統中只要是有效格式，即使日歷中不存在日期（例如：2月31日），也是可以被設定的，而攻擊者就是利用這一特點(diǎn)，將CronRAT病毒藏匿于不存在的日期中，以躲避服務(wù)器管理員的注意，同時(shí)逃避安全產(chǎn)品的掃描。

　　通過(guò)分析可以看出，CronRAT病毒讀取Crontab任務(wù)，設置了特定的日期“52 23 31 2 3”，通過(guò)base64以及混淆將惡意軟件代碼隱藏其中，雖然這個(gè)特定的日期在語(yǔ)法上有效，但在執行時(shí)會(huì )生成運行時(shí)錯誤，因此永遠不會(huì )被執行，因為該日期實(shí)際對應的時(shí)間是2月31日。

　

　　圖：來(lái)自Sansec分析提供的Crontab任務(wù)讀取函數

　　而攻擊者則利用這一特點(diǎn)，不僅將CronRAT病毒藏匿起來(lái)，躲避安全軟件的掃描，還可以通過(guò)一個(gè)無(wú)害的bash腳本，單純的從計劃任務(wù)中取出惡意代碼，進(jìn)而執行任意程序，因此CronRAT病毒成為L(cháng)inux操作系統中的一個(gè)極大隱患。