新型ibus蠕虫，利用漏洞疯狂挖矿牟利(2)

三、蠕虫模块分析
1.攻击及恶意脚本植入
对大多数被入侵主机，攻击者最初是利用ThinkPHP v5 远程代码执行漏洞，通过如下payload植入恶意脚本
可以看到这里从http://67.209.177.163/ibus下载并运行了ibus。分析后发现ibus是一个perl脚本，该脚本会从Linux根目录开始遍历所有目录（最大深度为6），找出当前账号有写权限的所有文件夹，存入列表。

之后对列表中的目录进行打分，取分数最高的三个目录。打分标准例如完整路径以”/bin”开头的目录分数最高，”/usr/bin”其次，以此类推。

在最后挑选出来的三个目录中，写入同样的C&C模块脚本（脚本分析见后文），并分别命名为nmi, nbus和.dbus。这三个都是系统程序的名字，定时执行时还会打印出“These are for bus-kernl-daemon service”，非常具有迷惑性。
ibus脚本最后进行定时任务添加和脚本自删除操作。