Analizzato da: John Anthony Banes   
 Piattaforma:

Linux

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Hacking Tool

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Este malware no tiene ninguna rutina de propagación.

Este malware no tiene ninguna rutina de puerta trasera.

  Dettagli tecnici

Dimensione file: 4,144 bytes
Tipo di file: Script
Residente in memoria: No
Data di ricezione campioni iniziali: 25 dicembre 2017
Carica distruttiva: Deletes files, Terminates processes, Connects to URLs/IPs

Instalación

Crea las carpetas siguientes:

  • /var/tmp

Otras modificaciones del sistema

Elimina los archivos siguientes:

  • /dev/shm/jboss
  • /var/tmp/ysjswirmrm.conf
  • /var/tmp/sshd

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • "./sshd"
  • "/tmp/" without "grep" or "ovpvwbvtat"
  • "/tmp/httpd.conf"
  • "/tmp/m"
  • "\./" with "httpd.conf"
  • "\-p x" without "grep"
  • "108.61.186.224"
  • "128.199.86.57"
  • "142.4.124.164"
  • "192.99.56.117"
  • "accounts-daemon"
  • "acpid"
  • "AnXqV.yam"
  • "askdljlqw"
  • "atd"
  • "bb"
  • "BI5zj"
  • "bonn.sh"
  • "bonns"
  • "carbon"
  • "conn.sh"
  • "conns"
  • "cryptonight" without "grep"
  • "crypto-pool"
  • "ddg"
  • "donns"
  • "Duck.sh"
  • "Guard.sh"
  • "ir29xc1"
  • "irqba2anc1"
  • "irqba5xnc1"
  • "irqbalance"
  • "irqbnc1"
  • "JnKihGjn"
  • "jva"
  • "kw.sh"
  • "kworker34"
  • "kxjd"
  • "minerd"
  • "minergate"
  • "minergate-cli"
  • "mixnerdx"
  • "mule"
  • "mutex"
  • "myatd"
  • "mysql_dump" without "grep"
  • "NXLAi"
  • "performedl"
  • "polkitd"
  • "pro.sh"
  • "pubg"
  • "sleep"
  • "snapd" without "grep"
  • "stratum" without "grep"
  • "tratum"
  • "watch-smart"
  • "XJnRj"
  • "yam"
  • "ysaydh"
  • "ysjswirmrm" without "grep"

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • /var/tmp/config.json - configuration file
  • /var/tmp/jvs - coinminer component

  Soluzioni

Motore di scansione minimo: 9.850

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como HKTL_COINMINE.GN En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Sondaggio