Trojan.Linux.MALXMR.UWEJO

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Dateien ein:

• {directory}/rzx → contains the new file name of its miner

Erstellt die folgenden Ordner:

• /root/.ssh

Andere Systemänderungen

Ändert die folgenden Dateien:

• /root/.ssh/authorized_keys → appends the attacker's SSH public-key

Löscht die folgenden Dateien:

• /tmp/ddg*
• /tmp/wnTKYg
• /tmp/qW3xT.2
• /tmp/ddgs.3013
• /tmp/ddgs.3012
• /tmp/2t3ik
• /tmp/root.sh
• /tmp/pools.txt
• /tmp/libapache
• /tmp/config.json
• /tmp/bashf
• /tmp/bashg
• /tmp/libapache
• /tmp/kworkerds
• /bin/kworkerds
• /bin/config.json
• /var/tmp/kworkerds
• /var/tmp/config.json
• /usr/local/lib/libjdk.so
• /tmp/.systemd-private-*
• /usr/lib/libiacpkmn.so.3
• /etc/init.d/nfstruncate
• /etc/init.d/ats
• /etc/zigw
• /tmp/zigw
• /etc/zjgw

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• wnTKYg
• ddg*
• stratum
• xmrig
• /var/tmp/java
• ddgs
• qW3xT
• t00ls.ru
• sustes
• Xbash
• hashfish
• .syslog
• xig
• systemctI
• tsm
• zigw
• zjgw
• Processes that use the following ports:
  • 3333
  • 4444
  • 5555
  • 6666
  • 7777
  • 3347
  • 14444
  • 14443

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• {directory}/{random characters} - detected as Coinminer_MALXMR.SMGH2-ELF64
• {directory}/httpdz - detected as Backdoor.Linux.POPDZ.A
• {directory}/migrations - detected as Trojan.Linux.WATCHMINE.A
• /usr/bin/rm - detected as Trojan.SH.FAKERM.A

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://w.{BLOCKED}n.com:43768/
• http://w.{BLOCKED}n.com:43768/
• https://pastebin.com/raw/{BLOCKED}WL