Trojan.SH.MALXMR.UWEIU
2019年2月1日
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 8,682 bytes
タイプ Other
メモリ常駐 なし
発見日 2019年1月31日
ペイロード ファイルの削除, URLまたはIPアドレスに接続, ファイルの作成
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- /bin/sh /etc/cron.hourly/oanacroner -> contains the connection to http://{BLOCKED}h.shop/1.jpg
- /bin/sh /etc/cron.daily/oanacroner -> contains the connection to http://{BLOCKED}h.shop/1.jpg
- /bin/sh /etc/cron.monthly/oanacroner -> contains the connection to http://{BLOCKED}h.shop/1.jpg
- /opt/yilu/mservice
- /opt/yilu/work/xig/xig
- /opt/yilu/work/xige/xige
- /tmp/thisxxs
- /usr/bin/.sshd
- /usr/bin/bsd-port/getty
マルウェアは、以下のフォルダを作成します。
- /opt/yilu/work/xig /opt/yilu/work/xige /usr/bin/bsd-port
- /var/tmp
- /var/spool/cron/crontabs
- /etc/cron.hourly
- /etc/cron.daily
- /etc/cron.monthly
- /opt/yilu/work/xig
- /opt/yilu/work/xige
- /usr/bin/bsd-port
他のシステム変更
マルウェアは、以下のファイルを削除します。
- /tmp/qW3xT.2
- /tmp/ddgs.3013
- /tmp/ddgs.3012
- /tmp/wnTKYg
- /tmp/2t3ik
- /boot/grub/deamon
- /boot/grub/disk_genius
- /tmp/*index_bak*
- /tmp/*httpd.conf*
- /tmp/*httpd.conf
- /tmp/a7b104c270
- /tmp/ddg*
- /tmp/wnTKYg
- /var/tmp/j*
- /tmp/j*
- /var/tmp/java
- /tmp/java
- /var/tmp/java2
- /tmp/java2
- /var/tmp/java*
- /tmp/java*
- /tmp/httpd.conf
- /tmp/conn
- /tmp/.uninstall*
- /tmp/.python*
- /tmp/.tables*
- /tmp/.mas
- /tmp/root.sh
- /tmp/pools.txt
- /tmp/libapache
- /tmp/config.json
- /tmp/bashf
- /tmp/bashg
- /tmp/libapache
- /tmp/kworkerds
- /var/tmp/kworkerds
- /var/tmp/config.json
- /tmp/.systemd-private-* .systemd-private-*
- /etc/rc*.d/S01nfstruncate
- /etc/rc.d/rc*.d/S01nfstruncate
- /bin/ddus-uidgen
- /etc/init.d/acpidtd
- /etc/rc.d/rc*.d/S01acpidtd
- /etc/rc*.d/S01acpidtd
- /etc/ld.sc.conf
- /etc/ld.so.preload
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- sourplum
- wnTKYg
- ddg*
- kworkerds
- biosetjenkins
- AnXqV.yam
- xmrigDaemon
- xmrigMiner
- xmrig
- Loopback
- apaceha
- cryptonight
- stratum
- mixnerdx
- performedl
- JnKihGjn
- irqba2anc1
- irqba5xnc1
- irqbnc1
- ir29xc1
- conns
- irqbalance
- crypto-pool
- minexmr
- XJnRj
- NXLAi
- BI5zj
- askdljlqw
- minerd
- minergate
- Guard.sh
- ysaydh
- bonns
- donns
- kxjd
- Duck.sh
- bonn.sh
- conn.sh
- kworker34
- kw.sh
- pro.sh
- polkitd
- acpid
- icb5o
- nopxi
- irqbalanc1
- minerd
- i586
- gddr
- mstxmr
- ddg.2011
- wnTKYg
- deamon
- disk_genius
- sourplum
- bashx
- bashg
- bashe
- bashf
- bashh
- XbashY
- libapache
- qW3xT.2
- /usr/bin/.sshd
- sustes
- Xbash
- kthreadd
- xmrig
- xmrigDaemon
- xmrigMiner
- xig
- ddgs
- qW3xT
- t00ls.ru
- /var/tmp/sustes
- sustes
- Xbash
- hashfish
- cranbery
- stratum
- xmr
- minerd
- /tmp/thisxxs
- /opt/yilu/work/xig/xig
- /opt/yilu/mservice
- /usr/bin/.sshd
- /usr/bin/bsd-port/getty
- Process that uses the following URL and Ports:
- {BLOCKED}.{BLOCKED}.{BLOCKED}.86:443
- {BLOCKED}.{BLOCKED}.{BLOCKED}.238
- {BLOCKED}.{BLOCKED}.{BLOCKED}2.87
- :3333
- :4444
- :5555
- :6666
- :7777
- :3347
- :14444
- :14433
- :56415
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}h.shop/86
- http://{BLOCKED}h.shop/64
- http://{BLOCKED}h.shop/0
- http://{BLOCKED}h.shop/1.jpg
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- /var/tmp/r1x -> 32 bit miner. Detected as Coinminer.Linux.MALXMR.UWEIU
- /tmp/r1x -> 64 bit miner
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.786.04
初回 VSAPI パターンリリース日 2019年2月1日
VSAPI OPR パターンバージョン 14.787.00
VSAPI OPR パターンリリース日 2019年2月2日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.MALXMR.UWEIU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください