Analizzato da: Paul Steven Nadera   
 

Linux/IRCBot.AU trojan (NOD32); HEUR:Backdoor.Linux.Agent.bc (Kaspersky); Trojan:Win32/Ircbrute (Microsoft)

 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Backdoor

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

  Dettagli tecnici

Dimensione file: 4,746 bytes
Tipo di file: , Script
Residente in memoria:
Data di ricezione campioni iniziali: 23 agosto 2017
Carica distruttiva: Drops files, Connects to URLs/IPs, Scans for open ports

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra y ejecuta los archivos siguientes:

  • /opt/{random characters} -> a copy it drops if the script is not running as root

Crea las carpetas siguientes:

  • /root/.ssh

Otras modificaciones del sistema

Elimina los archivos siguientes:

  • /root/.bashrc
  • /home/pi/.bashrc
  • /tmp/ktx*
  • /tmp/cpuminer-multi
  • /var/tmp/kaiten

Rutina de puerta trasera

Se conecta a uno de los servidores de IRC siguientes:

  • ix1.{BLOCKED}et.org
  • ix2.{BLOCKED}et.org
  • Ashburn.Va.Us.{BLOCKED}et.org
  • Bucharest.RO.EU.{BLOCKED}et.Org
  • Budapest.HU.EU.{BLOCKED}et.org
  • Chicago.IL.US.{BLOCKED}et.org

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • bins.sh
  • minerd
  • node
  • nodejs
  • ktx-armv4l
  • ktx-i586
  • ktx-m68k
  • ktx-mips
  • ktx-mipsel
  • ktx-powerpc
  • ktx-sh4
  • ktx-sparc
  • arm5
  • zmap
  • kaiten
  • perl

Otros detalles

Hace lo siguiente:

  • Executes the following commands to download libraries needed:
    • apt-get update -y --force-yes
    • apt-get install zmap sshpass -y --force-yes
  • Scans for networks with an open port 22 using Zmap and uses the credentials username: pi and password: raspberry or raspberryraspberry993311 to drop a copy and execute it.
  • Executes the following commands to change the password of user pi:
    • usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi
  • Allowed root to log in using this ssh key:
    • {BLOCKED}SIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmEqPqSNRQ/XDgM7qIB/VpYtAhK/7DoE8pqdoFNBU5+JlqeWYpsMO+qkHugKA5U22wEGs8xG2XyyDtrBcw10xz+M7U8Vpt0tEadeV973tXNNNpUgYGIFEsrDEAjbMkEsUw+iQmXg37EusEFjCVjBySGH3F+EQtwin3YmxbB9HRMzOIzNnXwCFaYU5JjTNnzylUBp/XB6B
  • Executes the following commands so that it will run upon boot:
    • sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
    • sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
    • sudo sh -c "echo 'exit 0' >> /etc/rc.local"

  Soluzioni

Motore di scansione minimo: 9.850
Primo file di pattern VSAPI: 15.676.09
Data di pubblicazione del primo pattern VSAPI: 11 febbraio 2020
Versione pattern VSAPI OPR: 15.677.00
Data di pubblicazione del pattern VSAPI OPR: 12 febbraio 2020

Step 1

Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como Backdoor.SH.PIMINE.AA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 2

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Backdoor.SH.PIMINE.AA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Sondaggio