近日，瑞星安全研究院發(fā)現(xiàn)一個專門針對Linux服務(wù)器又非常特別的病毒——“CronRAT”，該病毒最大特點是隱藏于Linux服務(wù)器系統(tǒng)日歷計劃任務(wù)Cron中，因此輕易不會被發(fā)現(xiàn)，并且躲避了許多安全產(chǎn)品的掃描。瑞星安全專家表示，CronRAT病毒具有執(zhí)行任意程序的危害，因此廣大用戶應(yīng)提高警惕。

　　瑞星安全專家在借鑒了Sansec團(tuán)隊的分析后表示，Cron是Linux服務(wù)器系統(tǒng)的日歷計劃任務(wù)，在Linux系統(tǒng)中只要是有效格式，即使日歷中不存在日期（例如：2月31日），也是可以被設(shè)定的，而攻擊者就是利用這一特點，將CronRAT病毒藏匿于不存在的日期中，以躲避服務(wù)器管理員的注意，同時逃避安全產(chǎn)品的掃描。

　　通過分析可以看出，CronRAT病毒讀取Crontab任務(wù)，設(shè)置了特定的日期“52 23 31 2 3”，通過base64以及混淆將惡意軟件代碼隱藏其中，雖然這個特定的日期在語法上有效，但在執(zhí)行時會生成運行時錯誤，因此永遠(yuǎn)不會被執(zhí)行，因為該日期實際對應(yīng)的時間是2月31日。

　

　　圖：來自Sansec分析提供的Crontab任務(wù)讀取函數(shù)

　　而攻擊者則利用這一特點，不僅將CronRAT病毒藏匿起來，躲避安全軟件的掃描，還可以通過一個無害的bash腳本，單純的從計劃任務(wù)中取出惡意代碼，進(jìn)而執(zhí)行任意程序，因此CronRAT病毒成為Linux操作系統(tǒng)中的一個極大隱患。