Trojan.Linux.MALXMR.UWEJS
2020年1月8日
別名:
HEUR:HackTool.Linux.XHide.a (KASPERSKY), PUA.Linux.Hacktool, PUA.Linux.Hacktool, PUA.Linux.Hacktool (IKARUS)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。 マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 4,551,919 bytes
タイプ , Other
メモリ常駐 はい
発見日 2020年1月6日
ペイロード URLまたはIPアドレスに接続, システム情報の収集, 情報収集
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- .bin/run
- .bin/startMSR
他のシステム変更
マルウェアは、以下のファイルを削除します。
- /dev/shm/.bin/x
- /dev/shm/.bin/run
- cron.d
- dir.dir
- *.txt
- /dev/shm/.bin/startMSR
情報漏えい
マルウェアは、以下の情報を収集します。
- Current Directory
- Username
- System Time and Date
- Kernel Information
- Number of Processing Units
- List of Display Interface
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}ter.com/assets/.style/remote/info.php
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://{BLOCKED}ter.com/assets/.style/remote/info.php
マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
マルウェアは、以下を実行します。
- It contains the following folder:
- .bin/
- It contains the following files:
- .bin/config.txt
- .bin/cpu.txt
- .bin/pools.txt
- .bin/h32 - detected as HackTool.Linux.XHide.GA
- .bin/h64 - detected as HackTool.Linux.XHide.GA
- .bin/run - detected as Trojan.SH.MALXMR.UWEJW
- .bin/startMSR - detected as Trojan.SH.MALXMR.UWEJW
- .bin/x - detected as Trojan.SH.MALXMR.UWEJW
- .bin/x.pl - executes x
- .bin/xmr-stak - detected as Coinminer.Linux.MALXMR.UWEKF
- .bin/xmrig - detected as Coinminer.Linux.MALXMR.SMDSL64
- xmr-stak accepts the following parameters:
- -h, --help show this help
- -v, --version show version number
- -V, --version-long show long version number
- -c, --config FILE common miner configuration file
- -C, --poolconf FILE pool configuration file
- --benchmark BLOCKVERSION ONLY do a benchmark and exit
- --benchwait WAIT_SEC ... benchmark wait time
- --benchwork WORK_SEC ... benchmark work time
- --noCPU disable the CPU miner backend
- --cpu FILE CPU backend miner config file
- -i --httpd HTTP_PORT HTTP interface port
- -o, --url URL pool url and port, e.g. pool.{BLOCKED}ool.com:3333
- -O, --tls-url URL TLS pool url and port, e.g. pool.usxmrpool.com:10443
- -u, --user USERNAME pool user name or wallet address
- -r, --rigid RIGID rig identifier for pool-side statistics (needs pool support)
- -p, --pass PASSWD pool password, in the most cases x or empty ""
- --use-nicehash the pool should run in nicehash mode
- --currency NAME currency to mine
- Supported coin options:
- - aeon7
- - bbscoin
- - bittube
- - cryptonight
- - cryptonight_bittube2
- - cryptonight_masari
- - cryptonight_haven
- - cryptonight_heavy
- - cryptonight_lite
- - cryptonight_lite_v7
- - cryptonight_lite_v7_xor
- - cryptonight_r
- - cryptonight_superfast
- - cryptonight_turtle
- - cryptonight_v7
- - cryptonight_v8
- - cryptonight_v8_double
- - cryptonight_v8_half
- - cryptonight_v8_reversewaltz
- - cryptonight_v8_zelerius
- - cryptonight_v7_stellite
- - cryptonight_gpu
- - cryptonight_conceal
- - freehaven
- - graft
- - haven
- - lethean
- - masari
- - monero
- - qrl
- - ryo
- - stellite
- - turtlecoin
- - plenteum
- - zelerius
- - xcash
- xmrig accepts the following parameters:
- Network:
- -o, --url=URL URL of mining server
- -a, --algo=ALGO mining algorithm https://{BLOCKED}g.com/docs/algorithms
- --coin=COIN specify coin instead of algorithm
- -u, --user=USERNAME username for mining server
- -p, --pass=PASSWORD password for mining server
- -O, --userpass=U:P username:password pair for mining server
- -k, --keepalive send keepalived packet for prevent timeout (needs pool support)
- --nicehash enable {BLOCKED}sh.com support
- --rig-id=ID rig identifier for pool-side statistics (needs pool support)
- --daemon use daemon RPC instead of pool for solo mining
- --daemon-poll-interval=N daemon poll interval in milliseconds (default: 1000)
- --self-select=URL self-select block templates from URL
- -r, --retries=N number of times to retry before switch to backup server (default: 5)
- -R, --retry-pause=N time to pause between retries (default: 5)
- --user-agent set custom user-agent string for pool
- --donate-level=N donate level, default 5%% (5 minutes in 100 minutes)
- --donate-over-proxy=N control donate over xmrig-proxy feature
- CPU backend:
- --no-cpu disable CPU mining backend
- -t, --threads=N number of CPU threads
- -v, --av=N algorithm variation, 0 auto select
- --cpu-affinity set process affinity to CPU core(s), mask 0x3 for cores 0 and 1
- --cpu-priority set process priority (0 idle, 2 normal to 5 highest)
- --cpu-max-threads-hint=N maximum CPU threads count (in percentage) hint for autoconfig
- --cpu-memory-pool=N number of 2 MB pages for persistent memory pool, -1 (auto), 0 (disable)
- --cpu-no-yield prefer maximum hashrate rather than system response/stability
- --no-huge-pages disable huge pages support
- --asm=ASM ASM optimizations, possible values: auto, none, intel, ryzen, bulldozer
- --randomx-init=N threads count to initialize RandomX dataset
- --randomx-no-numa disable NUMA support for RandomX
- --randomx-mode=MODE RandomX mode: auto, fast, light
- --randomx-1gb-pages use 1GB hugepages for dataset (Linux only)
- --randomx-wrmsr=N write value (0-15) to Intel MSR register 0x1a4 or do nothing (-1) (Linux only)
- API:
- --api-worker-id=ID custom worker-id for API
- --api-id=ID custom instance ID for API
- --http-host=HOST bind host for HTTP API (default: {BLOCKED}.{BLOCKED}.0.1)
- --http-port=N bind port for HTTP API
- --http-access-token=T access token for HTTP API
- --http-no-restricted enable full remote access to HTTP API (only if access token set)
- OpenCL backend:
- --opencl enable OpenCL mining backend
- --opencl-devices=N comma separated list of OpenCL devices to use
- --opencl-platform=N OpenCL platform index or name
- --opencl-loader=PATH path to OpenCL-ICD-Loader (OpenCL.dll or libOpenCL.so)
- --opencl-no-cache disable OpenCL cache
- --print-platforms print available OpenCL platforms and exit
- CUDA backend:
- --cuda enable CUDA mining backend
- --cuda-loader=PATH path to CUDA plugin (xmrig-cuda.dll or libxmrig-cuda.so)
- --cuda-devices=N comma separated list of CUDA devices to use
- --cuda-bfactor-hint=N bfactor hint for autoconfig (0-12)
- --cuda-bsleep-hint=N bsleep hint for autoconfig
- --no-nvml disable NVML (NVIDIA Management Library) support
- Logging:
- -S, --syslog use system log for output messages
- -l, --log-file=FILE log all output to a file
- --print-time=N print hashrate report every N seconds
- --health-print-time=N print health report every N seconds
- --no-color disable colored output
- --verbose verbose output
- Misc:
- -c, --config=FILE load a JSON-format configuration file
- -B, --background run the miner in the background
- -V, --version output version information and exit
- -h, --help display this help and exit
- --dry-run test configuration and exit
- Network:
マルウェアは、実行後、自身を削除します。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.608.03
初回 VSAPI パターンリリース日 2020年1月8日
VSAPI OPR パターンバージョン 15.609.00
VSAPI OPR パターンリリース日 2020年1月9日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.MALXMR.UWEJS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください