Author: Christopher Daniel So   
 PLATFORM:

Linux

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Eliminado por otro tipo de malware, Descargado de Internet

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

  TECHNICAL DETAILS

File size: 64,400 bytes
File type: ELF
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 24 de sierpnia de 2012
PAYLOAD: Connects to URLs/IPs, Compromises system security

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • {user's home path}/WIFIADAPT

Técnica de inicio automático

Infiltra los archivos siguientes:

  • {user's home path}/.config/autostart/WIFIADAPTER.desktop

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Get OS version, user name, host name, $PATH variable, home directory, malware process ID, current process path
  • Download a file and save it as /tmp/{random file name 1}, then execute the downloaded file
  • Exit
  • List files in a directory
  • Read a file
  • Write and close a file
  • Copy a file
  • Execute a file
  • Rename a file
  • Delete a file
  • Create a directory
  • Start remote shell
  • Kill a process
  • Get currently logged in users
  • Enumerate window titles of all processes
  • Download a file and save it as /tmp/{random file name 2}
  • Simulate keyboard press
  • Simulate mouse event
  • Get stored login credentials in Google Chrome, Chromium, Opera, Mozilla
  • Get the size of a file
  • Take a screenshot
  • Upload keylogger file {user's home path}/.m8d.dat
  • Clear keylogger file {user's home path}/.m8d.dat
  • Delete a file
  • Search for a file
  • Stop remote shell
  • List processes
  • Perform window operation
  • Get Pidgin passwords from {user's home path}/.purple/accounts.xml
  • Uninstall

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

  • {user's home path}/.m8d.dat

  SOLUTION

Minimum scan engine: 9.200
VSAPI OPR PATTERN-VERSION: 9.369.00
VSAPI OPR PATTERN DATE: 04 de września de 2012

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como ELF_NETWRD.A


Did this description help? Tell us how we did.