PERL_QUIMITCHIN.A
Publish Date: 27 janvier 2017
OSX.Backdoor.Quimitchin (Malwarebytes)
Plate-forme:
Linux, MacOSX
Overall Risk:
Dommages potentiels: :
Distribution potentielle: :
reportedInfection:
Information Exposure Rating::
Faible
Medium
Élevé
Critique
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Voie d'infection: Fallen gelassen von anderer Malware, Aus dem Internet heruntergeladen
Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen. However, as of this writing, the said sites are inaccessible.
Stiehlt bestimmte Daten vom System und/oder dem Benutzer.
Détails techniques
File size: 82,947 bytes
File type: Script
Memory resident: Oui
Date de réception des premiers échantillons: 19 janvier 2017
Charge malveillante: Steals information, Connects to URLs/IPs
Installation
Schleust die folgenden Dateien ein und führt sie aus:
- /tmp/proxy←detected by Trend Micro as PERL_QUIMITCHIN.A
- /tmp/cr←detected by Trend Micro as OSX_QUIMITCHIN.A
- /tmp/client.class←detected by Trend Micro as JAVA_QUIMITCHIN.A
Backdoor-Routine
Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.
- eidk.{BLOCKED}o.org
However, as of this writing, the said sites are inaccessible.
Datendiebstahl
Stiehlt folgende Daten:
- System's hostname
- Local hostname
- Username
Andere Details
Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:
- take screenshots using "xwd" commang and save it to:
- /tmp/scrn.png
- get system's uptime
Solutions
Moteur de scan minimum: 9.850
First VSAPI Pattern File: 13.168.02
First VSAPI Pattern Release Date: 19 janvier 2017
VSAPI OPR Pattern Version: 13.169.00
VSAPI OPR Pattern Release Date: 20 janvier 2017