Backdoor.Linux.KINSING.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Este malware não tem nenhuma rotina de propagação.

Ele executa determinados comandos que recebe remotamente de um usuário mal-intencionado. Isso coloca em grande risco o computador infectado e as informações encontradas nele.

Detalhes da chegada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalao

Ele adiciona as seguintes pastas:

• /tmp/.ICEd-unix
• /var/tmp/.ICEd-unix

Ele deixa e executa os seguintes arquivos:

• /tmp/kdevtmpfsi

Propagao

Este malware não tem nenhuma rotina de propagação.

Rotina de porta de invaso

Ele executa o(s) seguinte(s) comando(s) de um usuário remoto mal-intencionado:

• Download and execute a file
• Update downloaded files
• Execute a command
• Execute a command and send output to {Server}/o
• Create an HTTP request
• Create a TCP request
• Brute-force Redis instances

Encerramento de processo

Ele encerra processos ou serviços que contenham qualquer uma das seguintes strings, se encontrados executando na memória do sistema infectado:

• kdevtmpfsi

Roubo de informaes

Coleta os seguintes dados:

• OS Version
• OS Name
• OS Architecture

Informaes roubadas

Envia as informações coletadas via HTTP POST para a seguinte URL:

• {Server}/r

Outros detalhes

Faz o seguinte:

• This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
  • http://{BLOCKED}.{BLOCKED}.88.102
  • http://{BLOCKED}.{BLOCKED}.169.111
  • http://{BLOCKED}.{BLOCKED}.50.255
  • http://{BLOCKED}.{BLOCKED}.87.220
  • http://{BLOCKED}.{BLOCKED}.220.193
• This backdoor receives its commands via HTTP GET to the following URL:
  • {Server}/get