Trojan.SH.MIXBASH.A
Trojan-Downloader.Linux.Sh (Ikarus); Linux/TrojanDownloader.SH.GA (NOD32)
Linux
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- cron tasks:
- /etc/crontab
- /etc/crontabs/root
- /var/spool/cron/crontabs/root
- /var/spool/cron/root
- /etc/cron.d/root
- /etc/cron.d/.cronbus
- /root/.ssh/authorized_keys OR /home/{user}/.ssh/authorized_keys - used for logging in as user@localhost
- /root/.cache/.a - file marker for uninstall routines
Andere Systemänderungen
Ändert die folgenden Dateien:
- /etc/rc.local - adds "sh /usr/local/bin/npt" to run downloaded file on boot
- /var/spool/mail/{user} - contents replaced with "0" string
- /var/log/wtmp - contents replaced with "0" string
- /var/log/secure - contents replaced with "0" string
- /var/log/cron - contents replaced with "0" string
Löscht die folgenden Dateien:
- /etc/ld.so.preload*
- /etc/systemd/system/cloud*
- files in /var/tmp
- files in /var/spool/cron/crontabs
- files in /var/spool/cron
- files in /etc/cron.d
- files in /etc/crontabs
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- Cloud-related Services:
- barad_agent*
- anat*
- aliyun-service
- yunjing
- Other Processes (some are related to malware/coinmining):
- .kthreadd
- .over
- .sr0
- .sshd
- /60009
- /tmp/
- /tmp/init
- 44444
- 56416
- clay
- clean.sh
- config.json
- cpuminer
- cranberry
- crawler.weibo
- cryptonight
- ddgs
- ebscan
- geqn
- gpg-daemon
- gwjyhs.com
- hashrate
- hashvault
- httpdz
- jobs.flu.cc
- kerbero
- kerberods
- khugepageds
- killTop.sh
- krun.sh
- kworker
- kworkerds
- Linux
- linuxl
- linuxs
- minerd
- mrx1
- nicehash
- nmap
- pastebin.com
- redis-cli
- redisscan
- slave
- sobot.com
- ssh_deny.sh
- start.sh
- stratum
- udevs
- watch.sh
- xig
- xmr
- Exceptions:
- If Process ID is less than 301
- Process belongs to the malware itself
- If Process ID = Parent PID
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- /root/.cache/.editorinfo OR /home/{user}/.cache/.editorinfo
- /usr/local/bin/nptd
- /etc/cron.hourly/cronlog
- /etc/cron.daily/cronlog
- /etc/cron.monthly/cronlog
- /root/.cache/favicon.ico OR /home/{user}/.cache/favicon.ico - coinminer
- /root/.cache/.kswapd OR /home/{user}/.cache/.kswapd - coinminer
- /root/.cache/[kthrotlds] OR /home/{user}/[kthrotlds] - coinminer
- /usr/bin/[kthrotlds] - coinminer
- /root/.cache/.ntp OR /home/{user}/.cache/.ntp
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/ud - update flag
Lösungen
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Trojan.SH.MIXBASH.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil