Worm.Linux.MALXMR.PUWELX
a variant of Linux/CoinMiner.AV potentially unwanted application(NOD32);
Linux
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Wird ausgeführt und löscht sich dann selbst.
Détails techniques
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- /tmp/.{random characters}/[kthreaddi]
- /tmp/.{random characters}/config.json
Fügt die folgenden Prozesse hinzu:
- [kthreaddi]
Erstellt die folgenden Ordner:
- /tmp/.{random characters}
Wird ausgeführt und löscht sich dann selbst.
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- apaceha
- apachiii
- cpuset
- crond64
- cryptonight
- devtool
- devtools
- haveged
- irqbalanc1
- jawa
- kdevtmpfsi
- kinsing
- ksoftirqds
- kthrotlds
- kworker34
- kworkerds
- linux32
- Loopback
- miner-cpu
- miner-notls
- miner
- minerd
- minergate
- mixnerdx
- monerohash
- mstxmr
- nanoWatch
- netdns
- nginxk
- nqscheduler
- nullcrew
- performedl
- phpguard
- phpupdate
- pnscan
- pythnof
- redis2
- solrd
- sourplum
- stratum
- suppoie
- sustse
- sustse3
- svcguard
- svcupdate
- svcupdates
- sysguard
- sysstats
- systemctI
- systemten
- systemxlv
- sysupdate
- vmlinuz
- voltuned
- watchbog
- watchd0g
- watchdogs
- xmr-stak
Andere Details
Es macht Folgendes:
- If the deployment of the coinminer is successful, it would proceed to delete the created folder and its contents ([kthreaddi] and config.json).
- It uses the following default details on its coin mining routine (from config.json):
- Algo: rx/0
- Url: xmr-eu1.nanopool.org:14444
- User: {BLOCKED}PrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX17ZeofwPwC6fXNxPZfGjNEChXttwWE3EGUEa
- Password: x
- If exploitation is successful, connects to the following URL to download and execute a malicious file:
- http://{BLOCKED}.{BLOCKED}.227.21
- It may use the following exploits to aid its propagation:
- XXL-JOB unauthorized access
- WebLogic Unauthorized Access (CVE-2020-14882)
- ThinkPhp5Rce
- Hadoop unauthorized access
- Jupyter unauthorized access
- Nexus unauthorized access
- Tomcat unauthorized access
- WordPress unauthorized access
- Jenkins RCE
- CVE-2017-11610
- CVE-2019-10758
- CVE-2020-16846
- CVE-2021-3129
- It scans the following ports to be used in exploitation and propagation:
- 80
- 6379
- 7001
- 8080
- 8081
- 8088
- 8090
- 8888
- 8983
- 9001
- 9999
- It uses the following credentials to bruteforce a system:
- Username:
- admin1234
- admin@123
- Admin@123
- admin
- Admin123
- mfgproadmin
- root
- test
- user
- tomcat
- Password:
- 1q2e3e4r
- 12345678
- 123456
- Admin123
- P@ssw0rd
- admin123
- password
- admin
- tomcat
- root
- test
- user
- secret
- tomcat123
- oracle
- Username:
- It tries to bruteforce the following systems:
- Wordpress
- Tomcat
- Nexus
- Jupyter
- Jenkins
Solutions
Step 2
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Worm.Linux.MALXMR.PUWELX entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!