Trojan.Linux.SSHBRUTE.UWEJS

Possibilité de téléchargement par d''autres programmes malveillants/graywares/programmes espions depuis des sites distants.

Requiert la réussite de l''exécution par le composant principal de la routine prévue. Se supprime lui-même après son exécution.

Précisions sur l'apparition de l'infection

Possibilité de téléchargement par les programmes malveillants/graywares/programmes espions suivants depuis des sites distants :

• Trojan.SH.MALXMR.UWEJS

Interruption de processus

Met fin aux processus suivants exécutés au niveau de la mémoire du système affecté :

• perl
• sparky.sh
• pscan2

Informations dérobées

Envoie les informations collectées via HTTP POST à l'URL suivante :

• http://{BLOCKED}ter.com/assets/.style/remote/info.php

  Autres précisions

  Requiert la réussite de l''exécution par le composant principal de la routine prévue.

  Il fait ce qui suit:

  • It uses Haiduc scanner to try to infect the following:
    • Devices in the private IP range {BLOCKED}.{BLOCKED}.0.0/16 using the credentials listed in .sslm/pass
    • Devices in the public IP range {random number from 0-216}.0.0.0/8 using the credentials listed in .sslm/.pass
  • It contains the following folder:
    • .sslm/
  • It contains the following files:
    • .sslm/.pass → contains short list of credentials
    • .sslm/a.pl → executes start and uses {random number from 0-216}.0.0.0/8 as argument
    • .sslm/libssl → detected as HackTool.Linux.SSHBRUTE.GA
    • .sslm/pass → contains long list of credentials
    • .sslm/sparky.sh → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start.pl → executes start.sh
    • .sslm/start.sh → detected as Trojan.SH.SSHBRUTE.UWEJS

  Se supprime lui-même après son exécution.