Analys¨¦ par: Clive Fuentebella   
 

Trojan:Linux/Shmusho!MSR (MICROSOFT)

 Plate-forme:

Linux

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Diese Malware hat keine Verbreitungsroutine.

F¨¹hrt bestimmte Befehle aus, die sie extern von einem b?swilligen Benutzer erh?lt. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten st?rker gef?hrdet.

  D¨¦tails techniques

File size: 16,687,104 bytes
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 27 mars 2020
Charge malveillante: Connects to URLs/IPs, Steals information

?bertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

F¨¹gt die folgenden Ordner hinzu:

  • /tmp/.ICEd-unix
  • /var/tmp/.ICEd-unix

Schleust die folgenden Dateien ein und f¨¹hrt sie aus:

  • /tmp/kdevtmpfsi

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

F¨¹hrt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Download and execute a file
  • Update downloaded files
  • Execute a command
  • Execute a command and send output to {Server}/o
  • Create an HTTP request
  • Create a TCP request
  • Brute-force Redis instances

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • kdevtmpfsi

Datendiebstahl

Folgende Daten werden gesammelt:

  • OS Version
  • OS Name
  • OS Architecture

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • {Server}/r

Andere Details

Es macht Folgendes:

  • This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
    • http://{BLOCKED}.{BLOCKED}.88.102
    • http://{BLOCKED}.{BLOCKED}.169.111
    • http://{BLOCKED}.{BLOCKED}.50.255
    • http://{BLOCKED}.{BLOCKED}.87.220
    • http://{BLOCKED}.{BLOCKED}.220.193
  • This backdoor receives its commands via HTTP GET to the following URL:
    • {Server}/get

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.834.01
First VSAPI Pattern Release Date: 27 avril 2020
VSAPI OPR Pattern Version: 15.835.00
VSAPI OPR Pattern Release Date: 28 avril 2020

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als Backdoor.Linux.KINSING.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participez ¨¤ notre enqu¨ºte!