Trojan.Linux.MALXMR.UWEJC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• /etc/rzx - contains the new file name of its miner
• /root/.ssh/authorized_keys - contains the attacker's SSH public-key

マルウェアは、以下のフォルダを作成します。

• /root/.ssh

他のシステム変更

マルウェアは、以下のファイルを削除します。

• /tmp/ddg*
• /tmp/wnTKYg
• /tmp/qW3xT.2
• /tmp/ddgs.3013
• /tmp/ddgs.3012
• /tmp/2t3ik
• /tmp/root.sh
• /tmp/pools.txt
• /tmp/libapache
• /tmp/config.json
• /tmp/bashf
• /tmp/bashg
• /tmp/libapache
• /tmp/kworkerds
• /bin/kworkerds
• /bin/config.json
• /var/tmp/kworkerds
• /var/tmp/config.json
• /usr/local/lib/libjdk.so
• /tmp/.systemd-private-*
• /usr/lib/libiacpkmn.so.3
• /etc/init.d/nfstruncate
• /etc/init.d/ats
• /etc/zigw
• /tmp/zigw
• /etc/zjgw

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• wnTKYg
• ddg*
• stratum
• xmrig
• /var/tmp/java
• ddgs
• qW3xT
• t00ls.ru
• sustes
• Xbash
• hashfish
• .syslog
• xig
• systemctI
• tsm
• zigw
• zjgw
• Processes that use the following ports:
  • 3333
  • 4444
  • 5555
  • 6666
  • 7777
  • 3347
  • 14444
  • 14443

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://w.{BLOCKED}i.xyz:43768/pvds
• http://w.{BLOCKED}i.xyz:43768/httpdz
• http://w.{BLOCKED}i.xyz:43768/migration
• http://w.{BLOCKED}i.xyz:43768/rm
• http://w.{BLOCKED}i.xyz:43768/crontab.sh

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• /etc/{random characters} - detected as Coinminer_MALXMR.SMGH2-ELF64
• /etc/httpdz - detected as Backdoor.Linux.POPDZ.A
• /etc/migrations - detected as Trojan.Linux.WATCHMINE.A
• /usr/bin/rm - detected as Trojan.SH.FAKERM.A

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://w.{BLOCKED}i.xyz:43768/
• http://w.{BLOCKED}n.xyz:43768/
• http://w.{BLOCKED}n.com:43768/