PERL_QUIMITCHIN.A
OSX.Backdoor.Quimitchin (Malwarebytes)
PLATFORM:
Linux, MacOSX
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
INFORMATION EXPOSURE:
Low
Medium
High
Critical
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Eliminado por otro tipo de malware, Descargado de Internet
Se conecta a un sitio Web para enviar y recibir información. However, as of this writing, the said sites are inaccessible.
Roba determinada información del sistema y/o del usuario.
TECHNICAL DETAILS
File size: 82,947 bytes
File type: Script
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 19 de stycznia de 2017
PAYLOAD: Steals information, Connects to URLs/IPs
Instalación
Infiltra y ejecuta los archivos siguientes:
- /tmp/proxy←detected by Trend Micro as PERL_QUIMITCHIN.A
- /tmp/cr←detected by Trend Micro as OSX_QUIMITCHIN.A
- /tmp/client.class←detected by Trend Micro as JAVA_QUIMITCHIN.A
Rutina de puerta trasera
Se conecta a los sitios Web siguientes para enviar y recibir información:
- eidk.{BLOCKED}o.org
However, as of this writing, the said sites are inaccessible.
Robo de información
Roba la siguiente información:
- System's hostname
- Local hostname
- Username
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- take screenshots using "xwd" commang and save it to:
- /tmp/scrn.png
- get system's uptime
SOLUTION
Minimum scan engine: 9.850
First VSAPI Pattern File: 13.168.02
First VSAPI Pattern Release Date: 19 de stycznia de 2017
VSAPI OPR PATTERN-VERSION: 13.169.00
VSAPI OPR PATTERN DATE: 20 de stycznia de 2017