Análisis realizado por : Paul Steven Nadera   
 Alias

Linux/IRCBot.AU trojan (NOD32); HEUR:Backdoor.Linux.Agent.bc (Kaspersky); Trojan:Win32/Ircbrute (Microsoft)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

  Detalles técnicos

Tamaño del archivo 4,746 bytes
Tipo de archivo , Script
Residente en memoria
Fecha de recepción de las muestras iniciales 23 Aug 2017
Carga útil Drops files, Connects to URLs/IPs, Scans for open ports

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra y ejecuta los archivos siguientes:

  • /opt/{random characters} -> a copy it drops if the script is not running as root

Crea las carpetas siguientes:

  • /root/.ssh

Otras modificaciones del sistema

Elimina los archivos siguientes:

  • /root/.bashrc
  • /home/pi/.bashrc
  • /tmp/ktx*
  • /tmp/cpuminer-multi
  • /var/tmp/kaiten

Rutina de puerta trasera

Se conecta a uno de los servidores de IRC siguientes:

  • ix1.{BLOCKED}et.org
  • ix2.{BLOCKED}et.org
  • Ashburn.Va.Us.{BLOCKED}et.org
  • Bucharest.RO.EU.{BLOCKED}et.Org
  • Budapest.HU.EU.{BLOCKED}et.org
  • Chicago.IL.US.{BLOCKED}et.org

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • bins.sh
  • minerd
  • node
  • nodejs
  • ktx-armv4l
  • ktx-i586
  • ktx-m68k
  • ktx-mips
  • ktx-mipsel
  • ktx-powerpc
  • ktx-sh4
  • ktx-sparc
  • arm5
  • zmap
  • kaiten
  • perl

Otros detalles

Hace lo siguiente:

  • Executes the following commands to download libraries needed:
    • apt-get update -y --force-yes
    • apt-get install zmap sshpass -y --force-yes
  • Scans for networks with an open port 22 using Zmap and uses the credentials username: pi and password: raspberry or raspberryraspberry993311 to drop a copy and execute it.
  • Executes the following commands to change the password of user pi:
    • usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi
  • Allowed root to log in using this ssh key:
    • {BLOCKED}SIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmEqPqSNRQ/XDgM7qIB/VpYtAhK/7DoE8pqdoFNBU5+JlqeWYpsMO+qkHugKA5U22wEGs8xG2XyyDtrBcw10xz+M7U8Vpt0tEadeV973tXNNNpUgYGIFEsrDEAjbMkEsUw+iQmXg37EusEFjCVjBySGH3F+EQtwin3YmxbB9HRMzOIzNnXwCFaYU5JjTNnzylUBp/XB6B
  • Executes the following commands so that it will run upon boot:
    • sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
    • sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
    • sudo sh -c "echo 'exit 0' >> /etc/rc.local"

  Soluciones

Motor de exploración mínimo 9.850
Primer archivo de patrones de VSAPI 15.676.09
Primera fecha de publicación de patrones de VSAPI 11 de febrero de 2020
Versión de patrones OPR de VSAPI 15.677.00
Fecha de publicación de patrones OPR de VSAPI 12 de febrero de 2020

Step 1

Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como Backdoor.SH.PIMINE.AA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 2

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Backdoor.SH.PIMINE.AA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Rellene nuestra encuesta!