来自TrendMicro的安全研究人员偶然发现了一种新的恶意软件菌株，它在Linux计算机上挖掘了密码，但它也不同于以前所见的密码矿工，因为它下载了Rootkit以改变操作系统的行为，并隐藏通常伴随着密码挖掘的不想要的高CPU使用率。

目前，趋势微还没有确定恶意软件--他们将其命名为KORKERDS--感染系统的方式，但他们不相信最近的这波感染是入侵性大规模黑客活动的结果。

相反，研究人员认为，骗子正在使用经过修改的有毒Linux应用程序，在安装合法应用程序的过程中悄悄下载和安装KORKERDS密码。哪个应用程序？趋势微还没有弄清楚这一点。

但研究人员说，他们最近分析过的KORKERDS样本不仅仅是安装了Monero Miner--还下载和安装了一个rootkit，他们将其描述为“一个稍微修改了/重新使用的公开代码版本”。

除了允许KORKERDS重新启动操作系统之外，rootkit组件还包含了一个稍微奇怪的特性。

趋势微表示，KORKERDS的作者修改了Rootkit，以将密码器的主要进程隐藏在Linux的本地进程监控工具中。

研究人员说：“rootkit连接libc库的readdir和readDi 64应用程序编程接口(API)。”“rootkit将通过用rootkit自己版本的readdir替换普通readdir文件来覆盖普通库文件。”

此恶意版本的Readdir通过隐藏命名"克劳尔"的进程而工作-在这种情况下是“CryptoMiner”进程。

Linux进程监视工具仍将显示100%的CPU使用率，但管理员无法看到（和删除）KWorkerDS进程，导致CPU资源消耗问题。

Linux进程监视工具显示100%的cpu使用率，但kworkerds进程负责此问题。

趋势微公司的KORKERDS报告包含了恶意软件感染例程的技术分类，包括文件名、进程和文件哈希，Linux用户可能对跟踪和调试可能受到感染的系统感兴趣。

基于KORKERDS是在合法应用程序中发布的事实，这也表明恶意软件也可能对Linux桌面用户构成威胁，而不仅仅是对服务器构成威胁，因为在过去两年里，几乎所有的Linux密码都在服务器上被观察到。

Linux用户不是那些被卑鄙的密码挖掘恶意软件攻击目标的用户。TrendMicro还发布了关于另一个恶意软件菌株的第二次报告，该菌株针对Windows用户，并且还使用了各种技术，试图尽可能在受感染的系统中保持隐藏。