Trojan.Linux.SSHBRUTE.UWEJS

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen. Löscht sich nach der Ausführung selbst.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• Trojan.SH.MALXMR.UWEJS

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• perl
• sparky.sh
• pscan2

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}ter.com/assets/.style/remote/info.php

  Andere Details

  Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Es macht Folgendes:

  • It uses Haiduc scanner to try to infect the following:
    • Devices in the private IP range {BLOCKED}.{BLOCKED}.0.0/16 using the credentials listed in .sslm/pass
    • Devices in the public IP range {random number from 0-216}.0.0.0/8 using the credentials listed in .sslm/.pass
  • It contains the following folder:
    • .sslm/
  • It contains the following files:
    • .sslm/.pass → contains short list of credentials
    • .sslm/a.pl → executes start and uses {random number from 0-216}.0.0.0/8 as argument
    • .sslm/libssl → detected as HackTool.Linux.SSHBRUTE.GA
    • .sslm/pass → contains long list of credentials
    • .sslm/sparky.sh → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start.pl → executes start.sh
    • .sslm/start.sh → detected as Trojan.SH.SSHBRUTE.UWEJS

  Löscht sich nach der Ausführung selbst.