live casino online

Wird m?glicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausf¨¹hren. L?scht sich nach der Ausf¨¹hrung selbst.

?bertragungsdetails

Wird m?glicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• Trojan.SH.MALXMR.UWEJS

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

• perl
• sparky.sh
• pscan2

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

• http://{BLOCKED}ter.com/assets/.style/remote/info.php

  Andere Details

  Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausf¨¹hren.

  Es macht Folgendes:

  • It uses Haiduc scanner to try to infect the following:
    • Devices in the private IP range {BLOCKED}.{BLOCKED}.0.0/16 using the credentials listed in .sslm/pass
    • Devices in the public IP range {random number from 0-216}.0.0.0/8 using the credentials listed in .sslm/.pass
  • It contains the following folder:
    • .sslm/
  • It contains the following files:
    • .sslm/.pass ¡ú contains short list of credentials
    • .sslm/a.pl ¡ú executes start and uses {random number from 0-216}.0.0.0/8 as argument
    • .sslm/libssl ¡ú detected as HackTool.Linux.SSHBRUTE.GA
    • .sslm/pass ¡ú contains long list of credentials
    • .sslm/sparky.sh ¡ú detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start ¡ú detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start.pl ¡ú executes start.sh
    • .sslm/start.sh ¡ú detected as Trojan.SH.SSHBRUTE.UWEJS

  L?scht sich nach der Ausf¨¹hrung selbst.