Trojan.Linux.MALXMR.UWEJO

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• {directory}/rzx → contains the new file name of its miner

Crea las carpetas siguientes:

• /root/.ssh

Otras modificaciones del sistema

Modifica los archivos siguientes:

• /root/.ssh/authorized_keys → appends the attacker's SSH public-key

Elimina los archivos siguientes:

• /tmp/ddg*
• /tmp/wnTKYg
• /tmp/qW3xT.2
• /tmp/ddgs.3013
• /tmp/ddgs.3012
• /tmp/2t3ik
• /tmp/root.sh
• /tmp/pools.txt
• /tmp/libapache
• /tmp/config.json
• /tmp/bashf
• /tmp/bashg
• /tmp/libapache
• /tmp/kworkerds
• /bin/kworkerds
• /bin/config.json
• /var/tmp/kworkerds
• /var/tmp/config.json
• /usr/local/lib/libjdk.so
• /tmp/.systemd-private-*
• /usr/lib/libiacpkmn.so.3
• /etc/init.d/nfstruncate
• /etc/init.d/ats
• /etc/zigw
• /tmp/zigw
• /etc/zjgw

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• wnTKYg
• ddg*
• stratum
• xmrig
• /var/tmp/java
• ddgs
• qW3xT
• t00ls.ru
• sustes
• Xbash
• hashfish
• .syslog
• xig
• systemctI
• tsm
• zigw
• zjgw
• Processes that use the following ports:
  • 3333
  • 4444
  • 5555
  • 6666
  • 7777
  • 3347
  • 14444
  • 14443

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

• {directory}/{random characters} - detected as Coinminer_MALXMR.SMGH2-ELF64
• {directory}/httpdz - detected as Backdoor.Linux.POPDZ.A
• {directory}/migrations - detected as Trojan.Linux.WATCHMINE.A
• /usr/bin/rm - detected as Trojan.SH.FAKERM.A

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://w.{BLOCKED}n.com:43768/
• http://w.{BLOCKED}n.com:43768/
• https://pastebin.com/raw/{BLOCKED}WL