Trojan.Linux.SSHBRUTE.UWEJS

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Requiere que su componente principal lleve a cabo correctamente la rutina deseada. Este malware se elimina tras la ejecución.

Detalles de entrada

Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:

• Trojan.SH.MALXMR.UWEJS

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• perl
• sparky.sh
• pscan2

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}ter.com/assets/.style/remote/info.php

  Otros detalles

  Requiere que su componente principal lleve a cabo correctamente la rutina deseada.

  Hace lo siguiente:

  • It uses Haiduc scanner to try to infect the following:
    • Devices in the private IP range {BLOCKED}.{BLOCKED}.0.0/16 using the credentials listed in .sslm/pass
    • Devices in the public IP range {random number from 0-216}.0.0.0/8 using the credentials listed in .sslm/.pass
  • It contains the following folder:
    • .sslm/
  • It contains the following files:
    • .sslm/.pass → contains short list of credentials
    • .sslm/a.pl → executes start and uses {random number from 0-216}.0.0.0/8 as argument
    • .sslm/libssl → detected as HackTool.Linux.SSHBRUTE.GA
    • .sslm/pass → contains long list of credentials
    • .sslm/sparky.sh → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start → detected as Trojan.SH.SSHBRUTE.UWEJS
    • .sslm/start.pl → executes start.sh
    • .sslm/start.sh → detected as Trojan.SH.SSHBRUTE.UWEJS

  Este malware se elimina tras la ejecución.