Analisado por: Michael Jhon Ofiaza   
 Plataforma:

Linux

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Coinminer

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Descargado de Internet


  Detalhes técnicos

Tipo de compactação: 2,652 bytes
Tipo de arquivo: Other
Residente na memória: Não
Data de recebimento das amostras iniciais: 09 de octubre de 2018
Carga útil: Connects to URLs/IPs

Instalación

Agrega los procesos siguientes:

  • xm.service

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • xmrig
  • proc
  • xmr-stak
  • minergate-cli
  • bashd.service -> also disabled from starting automatically

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

  • http://{BLOCKED}.{BLOCKED}.219.163/k.php
  • http://{BLOCKED}.{BLOCKED}.219.163/data.cfg
  • http://{BLOCKED}.{BLOCKED}.219.163/xm
  • http://{BLOCKED}.{BLOCKED}.219.163/xm.service
  • http://{BLOCKED}.{BLOCKED}.219.163/test.sh
  • http://{BLOCKED}.{BLOCKED}.219.163/test3.sh

Guarda los archivos que descarga con los nombres siguientes:

  • {Malware Path}/data.cfg
  • {Malware Path}/xm
  • {Malware Path}/test.sh
  • {Malware Path}/test3.sh
  • /etc/systemd/system/xm.service

  Solução

Mecanismo de varredura mínima: 9.850
Primeiro arquivo padrão VSAPI: 14.554.06
Data do lançamento do primeiro padrão VSAPI: 09 de octubre de 2018
VSAPI OPR Pattern Version: 14.555.00
VSAPI OPR Pattern veröffentlicht am: 10 de octubre de 2018

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Coinminer.SH.MALXMR.ATNE En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Participe da nossa pesquisa!