Trojan.SH.MALXMR.UWEKB

2020年6月10日

解析者: Joshua Paul Ignacio

別名:

N/A

プラットフォーム:

Linux/Unix

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 37,849 bytes

タイプ Other

メモリ常駐はい

発見日 2020年6月8日

ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

作成活動

マルウェアは、以下のファイルを作成します。

/root/.ssh/authorized_keys

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

http://{BLOCKED}.{BLOCKED}.218.107/b2f627/svcupdate
http://{BLOCKED}.{BLOCKED}.218.107/b2f627/newsvc.sh
http://{BLOCKED}.{BLOCKED}.218.107/b2f627/config.json
http://{BLOCKED}.{BLOCKED}.218.107/b2f627/svcworkmanager
http://{BLOCKED}.{BLOCKED}.218.107/b2f627/svcguard
http://global.{BLOCKED}x.com.de/b2f627fff19fda/svcguard
http://global.{BLOCKED}x.com.de/b2f627fff19fda/svcupdate
http://global.{BLOCKED}x.com.de/b2f627fff19fda/newsvc.sh
http://global.{BLOCKED}x.com.de/b2f627fff19fda/config.json
http://global.{BLOCKED}x.com.de/b2f627fff19fda/svcworkmanager

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

If /etc/svcupdate exists on the affected machine:
- /etc/config.json → Detected as Coinminer.JS.MALXMR.CMPAT
- /etc/svcupdate → Detected as Coinminer.Linux.MALXMR.UWEKM
- /etc/svcguard → Detected as Trojan.Linux.MALXMR.UWEKV
- /etc/newsvc.sh → Detected as Trojan.SH.MALXMR.UWEKB
- /etc/svcworkmanager → Detected as HackTool.Linux.ExploitScan.AB
If there is no /etc/svcupdate on the affected machine:
- /tmp/config.json
- /tmp/svcupdate
- /tmp/svcguard
- /tmp/newsvc.sh
- /tmp/svcworkmanager

その他

マルウェアは、以下を実行します。

It creates the following cron jobs for persistence:
- Path: /var/spool/cron/crontabs/
- Schedule: Every 30 minutes
- Command: */30 * * * * sh /etc/newsvc.sh >/dev/null 2>&1
Disables Firewall
Deletes the following user accounts:
- akay
- vfinder
Stops and Disables the following services:
- apparmor
- aliyun.service
Uninstalls the following security products (AV) found running on the system:
- Aliyun (Alibaba Cloud)
- YunJing (Tencent Cloud)
Terminates the following connections:
- {BLOCKED}.{BLOCKED}.65.238
- {BLOCKED}.{BLOCKED}.52.87
- {BLOCKED}.{BLOCKED}.253.15
- {BLOCKED}.{BLOCKED}.6.16
- :443
- :23
- :443
- :143
- :2222
- :3333
- :3389
- :4444
- :5555
- :6666
- :6665
- :6667
- :7777
- :8444
- :3347
- :14433
Terminates processes that contains the following strings:
- ':3333'
- ':5555'
- 'kworker -c\'
- 'log_'
- 'systemten'
- 'netns'
- 'voltuned'
- 'darwin'
- '/tmp/dl'
- '/tmp/ddg'
- '/tmp/pprt'
- '/tmp/ppol'
- '/tmp/65ccE*'
- '/tmp/jmx*'
- '/tmp/2Ne80*'
- 'IOFoqIgyC0zmf2UR'
- '{BLOCKED}.{BLOCKED}.122.92'
- '{BLOCKED}.{BLOCKED}.191.178'
- '{BLOCKED}.{BLOCKED}.56.161'
- '86s.jpg'
- 'aGTSGJJp'
- 'nMrfmnRa'
- 'PuNY5tm2'
- 'I0r8Jyyt'
- 'AgdgACUD'
- 'uiZvwxG8'
- 'hahwNEdB'
- 'BtwXn5qH'
- '3XEzey2T'
- 't2tKrCSZ'
- 'HD7fcBgg'
- 'zXcDajSs'
- '3lmigMo'
- 'AkMK4A2'
- 'AJ2AkKe'
- 'HiPxCJRS'
- 'http_0xCC030'
- 'http_0xCC031'
- 'http_0xCC032'
- 'http_0xCC033'
- "C4iLM4L"
- 'aziplcr72qjhzvin'
- '/boot/vmlinuz'
- "i4b503a52cc5"
- "dgqtrcst23rtdi3ldqk322j2"
- "2g0uv7npuhrlatd"
- "nqscheduler"
- "rkebbwgqpl4npmm"
- "2fhtu70teuhtoh78jc5s"
- "0kwti6ut420t"
- "44ct7udt0patws3agkdfqnjm"
- "\[^"
- "rsync"
- "watchd0g"
- 'wnTKYg|2t3ik|qW3xT.2|ddg'
- "{BLOCKED}.{BLOCKED}.133.18:8220"
- "/tmp/java"
- 'gitee.com'
- '/tmp/java'
- '{BLOCKED}.{BLOCKED}.4.162'
- '{BLOCKED}.{BLOCKED}.39.78'
- '/dev/shm/z3.sh'
- 'kthrotlds'
- 'ksoftirqds'
- 'netdns'
- 'watchdogs'
- 'kdevtmpfsi'
- 'kinsing'
- 'redis2'
- "sync_supers"
- "cpuset"
- '/tmp/l.sh'
- '/tmp/zmcat'
- 'CnzFVPLF'
- 'CvKzzZLs'
- '/tmp/udevd'
- 'KCBjdXJsIC1vIC0gaHR0cDovLzg5LjIyMS41Mi4xMjIvcy5zaCApIHwgYmFzaCA'
- 'Y3VybCAtcyBodHRwOi8vMTA3LjE3NC40Ny4xNTYvbXIuc2ggfCBiYXNoIC1zaAo'
- 'sustse'
- 'sustse3'
- 'mr.sh'
- '2mr.sh'
- 'cr5.sh'
- 'logo9.jpg'
- 'j2.conf'
- 'luk-cpu'
- 'ficov'
- 'he.sh'
- 'miner.sh'
- 'nullcrew'
- '{BLOCKED}.{BLOCKED}.47.156'
- '{BLOCKED}.{BLOCKED}.169.247'
- '{BLOCKED}.{BLOCKED}.203.146'
- '{BLOCKED}.{BLOCKED}.45.45'
- '{BLOCKED}.{BLOCKED}.47.181'
- '176.31.6.16'
- "mine.moneropool.com"
- "pool.t00ls.ru"
- "xmr.crypto-pool.fr:8080"
- "xmr.crypto-pool.fr:3333"
- "{BLOCKED}n@yahoo.com"
- "monerohash.com"
- "/tmp/a7b104c270"
- "xmr.crypto-pool.fr:6666"
- "xmr.crypto-pool.fr:7777"
- "xmr.crypto-pool.fr:443"
- "stratum.f2pool.com:8888"
- "xmrpool.eu"
- "{BLOCKED}{BLOCKED}m.me"
- xiaoyao
- xiaoxue
- monerohash
- L2Jpbi9iYXN
- xzpauectgr
- slxfbkmxtd
- mixtape
- addnj
- {BLOCKED}.{BLOCKED}.17.196
- IyEvYmluL3NoCgpzUG
- KHdnZXQgLXFPLSBodHRw
- FEQ3eSp8omko5nx9e97hQ39NS3NMo6rxVQS3
- Y3VybCAxOTEuMTAxLjE4MC43Ni9saW4udHh0IHxzaAo
- {BLOCKED}dbpq.conf
- {BLOCKED}asbf.conf
- {BLOCKED}lm.cf
- stratum
- lower.sh
- ./ppp
- cryptonight
- ./seervceaess
- ./servceaess
- ./servceas
- ./servcesa
- ./vsp
- ./jvs
- ./pvv
- ./vpp
- ./pces
- ./rspce
- ./haveged
- ./jiba
- ./watchbog
- ./A7mA5gb
- kacpi_svc
- kswap_svc
- kauditd_svc
- kpsmoused_svc
- kseriod_svc
- kthreadd_svc
- ksoftirqd_svc
- kintegrityd_svc
- jawa
- oracle.jpg
- 45cToD1FzkjAxHRBhYKKLg5utMGEN
- {BLOCKED}.{BLOCKED}.49.54
- {BLOCKED}.{BLOCKED}.87.241
- etnkFgkKMumdqhrqxZ6729U7bY8pzRjYzGbXa5sDQ
- 47TdedDgSXjZtJguKmYqha4sSrTvoPXnrYQEq2Lbj
- etnkP9UjR55j9TKyiiXWiRELxTS51FjU9e1UapXyK
- servim
- kblockd_svc
- native_svc
- ynn
- 65ccEJ7
- jmxx
- 2Ne80nA
- sysstats
- systemxlv
- watchbog
- OIcJi1m
- biosetjenkins
- Loopback
- apaceha
- mixnerdx
- performedl
- JnKihGjn
- irqba2anc1
- irqba5xnc1
- irqbnc1
- ir29xc1
- conns
- irqbalance
- crypto-pool
- XJnRj
- mgwsl
- pythno
- jweri
- lx26
- NXLAi
- BI5zj
- askdljlqw
- minerd
- minergate
- Guard.sh
- ysaydh
- bonns
- donns
- kxjd
- Duck.sh
- bonn.sh
- conn.sh
- kworker34
- kw.sh
- pro.sh
- polkitd
- acpid
- icb5o
- nopxi
- irqbalanc1
- i586
- gddr
- mstxmr
- ddg.2011
- wnTKYg
- deamon
- disk_genius
- sourplum
- nanoWatch
- zigw
- devtool
- devtools
- systemctI
- sustes
- xmrig
- xmrig-cpu
- 121.42.151.137
- init12.cfg
- nginxk
- tmp/wc.conf
- xmrig-notls
- xmr-stak
- suppoie
- zer0day.ru
- dbus-daemon--system
- nullcrew
- kworkerds
- init10.cfg
- /wl.conf
- crond64
- sustse
- vmlinuz
- exin
- apachiii
- svcguard
- newsvc.sh
- svcupdate
- svcworkmanager
- "pocosow"
- "gakeaws"
- "azulu"
- "auto"
- "xmr"
- "mine"
- "monero"
- "slowhttp"
- "bash.shell"
- "entrypoint.sh"
- "/var/sbin/bash"
- "buster-slim"
- "hello-"
- "registry"
- 'aegis'
- 'Yun'
Deletes the following directories:
- /usr/bin/config.json
- /usr/bin/exin
- /tmp/wc.conf
- /tmp/log_rot
- /tmp/apachiii
- /tmp/sustse
- /tmp/php
- /tmp/p2.conf
- /tmp/pprt
- /tmp/ppol
- /tmp/javax/config.sh
- /tmp/javax/sshd2
- /tmp/.profile
- /tmp/1.so
- /tmp/kworkerds
- /tmp/kworkerds3
- /tmp/kworkerdssx
- /tmp/xd.json
- /tmp/syslogd
- /tmp/syslogdb
- /tmp/65ccEJ7
- /tmp/jmxx
- /tmp/2Ne80nA
- /tmp/dl
- /tmp/ddg
- /tmp/systemxlv
- /tmp/systemctI
- /tmp/.abc
- /tmp/osw.hb
- /tmp/.tmpleve
- /tmp/.tmpnewzz
- /tmp/.java
- /tmp/.omed
- /tmp/.tmpc
- /tmp/.tmpleve
- /tmp/.tmpnewzz
- /tmp/gates.lod
- /tmp/conf.n
- /tmp/devtool
- /tmp/devtools
- /tmp/fs
- /tmp/.rod
- /tmp/.rod.tgz
- /tmp/.rod.tgz.1
- /tmp/.rod.tgz.2
- /tmp/.mer
- /tmp/.mer.tgz
- /tmp/.mer.tgz.1
- /tmp/.hod
- /tmp/.hod.tgz
- /tmp/.hod.tgz.1
- /tmp/84Onmce
- /tmp/C4iLM4L
- /tmp/lilpip
- /tmp/3lmigMo
- /tmp/am8jmBP
- /tmp/tmp.txt
- /tmp/baby
- /tmp/.lib
- /tmp/systemd
- /tmp/lib.tar.gz
- /tmp/baby
- /tmp/java
- /tmp/j2.conf
- /tmp/.mynews1234
- /tmp/a3e12d
- /tmp/.pt
- /tmp/.pt.tgz
- /tmp/.pt.tgz.1
- /tmp/go
- /tmp/java
- /tmp/j2.conf
- /tmp/.tmpnewasss
- /tmp/java
- /tmp/go.sh
- /tmp/go2.sh
- /tmp/khugepageds
- /tmp/.censusqqqqqqqqq
- /tmp/.kerberods
- /tmp/kerberods
- /tmp/seasame
- /tmp/touch
- /tmp/.p
- /tmp/runtime2.sh
- /tmp/runtime.sh
- /dev/shm/z3.sh
- /dev/shm/z2.sh
- /dev/shm/.scr
- /dev/shm/.kerberods
- /etc/ld.so.preload
- /usr/local/lib/libioset.so
- chattr -i /etc/ld.so.preload
- /etc/ld.so.preload
- /usr/local/lib/libioset.so
- /tmp/watchdogs
- /etc/cron.d/tomcat
- /etc/rc.d/init.d/watchdogs
- /usr/sbin/watchdogs
- /tmp/kthrotlds
- /etc/rc.d/init.d/kthrotlds
- /tmp/.sysbabyuuuuu12
- /tmp/logo9.jpg
- /tmp/miner.sh
- /tmp/nullcrew
- /tmp/proc
- /tmp/2.sh
- /opt/atlassian/confluence/bin/1.sh
- /opt/atlassian/confluence/bin/1.sh.1
- /opt/atlassian/confluence/bin/1.sh.2
- /opt/atlassian/confluence/bin/1.sh.3
- /opt/atlassian/confluence/bin/3.sh
- /opt/atlassian/confluence/bin/3.sh.1
- /opt/atlassian/confluence/bin/3.sh.2
- /opt/atlassian/confluence/bin/3.sh.3
- /var/tmp/f41
- /var/tmp/2.sh
- /var/tmp/config.json
- /var/tmp/xmrig
- /var/tmp/1.so
- /var/tmp/kworkerds3
- /var/tmp/kworkerdssx
- /var/tmp/kworkerds
- /var/tmp/wc.conf
- /var/tmp/nadezhda.
- /var/tmp/nadezhda.arm
- /var/tmp/nadezhda.arm.1
- /var/tmp/nadezhda.arm.2
- /var/tmp/nadezhda.x86_64
- /var/tmp/nadezhda.x86_64.1
- /var/tmp/nadezhda.x86_64.2
- /var/tmp/sustse3
- /var/tmp/sustse
- /var/tmp/moneroocean/
- /var/tmp/devtool
- /var/tmp/devtools
- /var/tmp/play.sh
- /var/tmp/systemctI
- /var/tmp/.java
- /var/tmp/1.sh
- /var/tmp/conf.n
- /var/tmp/lib
- /var/tmp/.lib
- /usr/local/aegis
- /var/spool/cron/*
It blocks outgoing traffic to the following ports:
- 3333
- 5555
- 7777
- 9999
It checks for the existence of /root/.ssh/known_hosts and /root/.ssh/id_rsa.pub on the affected machine and if found, it will try to connect to all of the known ports and it will connect to the following URL to download and execute to the affexted machine:
- http://global.{BLOCKED}x.com.de/b2f627fff19fda/is.sh - Detected as Trojan.SH.MALXMR.UWEKB

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.918.02

初回 VSAPI パターンリリース日 2020年6月8日

VSAPI OPR パターンバージョン 15.919.00

VSAPI OPR パターンリリース日 2020年6月9日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.MALXMR.UWEKB」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

Trojan.SH.MALXMR.UWEKB

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

Trojan.SH.MALXMR.UWEKB

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa