摘要：近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。

该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇（如“door”或“egg”）伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。在攻击过程中，Auto-color以root权限启动后，会安装一个名为“libcext.so.2”的恶意库，并通过操纵ld.preload文件，确保恶意库优先加载，从而拦截和修改系统功能。此外，Auto-color还利用C标准库函数过滤其网络连接信息，并通过更改/proc/net/tcp文件以隐藏与命令和控制（C2）服务器通信，大幅增加安全监测和分析难度。

建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，关闭非必要系统服务及端口，监控可疑进程及文件，并可通过及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。

来源：平安朝阳