• Email
• Facebook
• Twitter
• Google+
• Linkedin

Trojan.SH.HADGLIDER.J

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• Trojan.SH.HADGLIDER.A

インストール

マルウェアは、以下のファイルを作成します。

• /tmp/log_rot
• /proc/sys/kernel/nmi_watchdog
• /etc/sysctl.conf
• /usr/bin/.profile

自動実行方法

マルウェアは、以下のサービスを追加し、実行します。

• /etc/systemd/system/moneroocean_miner.service

他のシステム変更

マルウェアは、以下のファイルを削除します。

• /var/log/syslog
• /tmp/*
• /tmp/.*
• /tmp/xmrig.tar.gz

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• Aliyun (Alibaba Cloud)
• YunJing (Tencent Cloud)

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• migration

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• http://{BLOCKED}.{BLOCKED}.148.123/COVID19/bin/xmrig.tar.gz
• It will look for the latest version of Monero miner and downloads it.
  
  • http://{BLOCKED}.{BLOCKED}.148.123/COVID19/bin/xmrig-5.11.0.tar.gz

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• /tmp/xmrig.tar.gz
  
  • It will try to extract the files of /tmp/xmrig.tar.gz on /usr/bin. If successful, it will delete /tmp/xmrig.tar.gz and if not success, it will display an error message on terminal.

情報漏えい

マルウェアは、以下の情報を収集します。

• Hostname
• Number of Processing Units

その他

マルウェアは、以下を実行します。

• Disables Firewall
• Disables NMI Watchdog
• Disables and removes older version of moneroocean miner
• It will uninstall the following security products (AV) found running on the system:
  
  • Aliyun (Alibaba Cloud)
  • YunJing (Tencent Cloud)
• It will check if the advanced and stock version of /usr/bin/migration is working properly or removed by an antivirus software

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください