Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Linux.Packed.564

Добавлен в вирусную базу Dr.Web: 2019-08-15

Описание добавлено:

Техническая информация

Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
  • /etc/init.d/developer
  • /etc/init.d/rcS_bak
  • /etc/init.d/rcS
  • /etc/rc.local
Вредоносные функции:
Запускает себя в качестве демона
Подменяет имя приложения на:
  • GNU
Модифицирует настройки брандмауэра:
  • /sbin/iptables -F
  • /sbin/iptables -X
Управляет службами:
  • service iptables stop
  • systemctl stop iptables.service
  • service firewalld stop
  • systemctl stop firewalld.service
Запускает процессы:
  • sh -c rm -rf /tmp/* /var/tmp/*
  • rm -rf /tmp/* /var/tmp/*
  • sh -c echo 0>/var/log/wtmp
  • sh -c rm -rf /bin/netstat
  • rm -rf /bin/netstat
  • sh -c echo 0>/var/log/secure
  • sh -c service iptables stop
  • sh -c /sbin/iptables -F; /sbin/iptables -X
  • sh -c service firewalld stop
  • sh -c rm -rf ~/.bash_history
  • rm -rf /root/.bash_history
  • sh -c history -c
  • sh -c mount -o bind /tmp /proc/737
  • sh -c /bin/busybox cp <SAMPLE_FULL_PATH> /usr/sbin/developer
  • mount -o bind /tmp /proc/737
  • /bin/busybox cp <SAMPLE_FULL_PATH> /usr/sbin/developer
  • sh -c /bin/busybox cp <SAMPLE_FULL_PATH> /etc/init.d/developer
  • sh -c umount /proc/*
  • /bin/busybox cp <SAMPLE_FULL_PATH> /etc/init.d/developer
  • sh -c /bin/busybox cp /etc/init.d/rcS /etc/init.d/rcS_bak
  • umount /proc/1 /proc/10 /proc/11 /proc/12 /proc/13 /proc/132 /proc/135 /proc/14 /proc/140 /proc/15 /proc/16 /proc/164 /proc/166 /proc/167 /proc/17 /proc/18 /proc/19 /proc/2 /proc/20 /proc/21 /proc/22 /proc/23 /proc/29 /proc/3 /proc/30 /proc/31 /proc/32 /proc/351 /proc/374 /proc/383 /proc/388 /proc/391 /proc/398 /proc/399 /proc/4 /proc/400 /proc/401 /proc/403 /proc/405 /proc/407 /proc/409 /proc/435 /proc/436 /proc/5 /proc/6 /proc/65 /proc/66 /proc/664 /proc/67 /proc/679 /proc/68 /proc/681 /proc/684 /proc/685 /proc/69 /proc/7 /proc/70 /proc/73 /proc/737 /proc/743 /proc/745 /proc/76 /proc/8 /proc/9 /proc/97 /proc/98 /proc/acpi /proc/buddyinfo /proc/bus /proc/cgroups /proc/cmdline /proc/consoles /proc/cpuinfo /proc/crypto /proc/devices /proc/disks[rkmodule] [sh][PPID:0x2e7] [sh][PID:0x2ea] do_filp_open. Filename: \"/bin/umount\
  • /bin/busybox cp /etc/init.d/rcS /etc/init.d/rcS_bak
  • sh -c /bin/busybox echo '/usr/sbin/developer self.load' >> /etc/init.d/rcS
  • /bin/busybox echo /usr/sbin/developer self.load
  • sh -c /bin/busybox echo '/etc/init.d/developer self.load' >> /etc/init.d/rcS
  • /bin/busybox echo /etc/init.d/developer self.load
  • sh -c echo '/usr/sbin/developer self.load' >> /etc/rc.local
  • sh -c echo '/etc/init.d/developer self.load' >> /etc/rc.local
  • sh -c /sbin/chkconfig --add mashiro
  • /sbin/chkconfig --add mashiro
  • sh -c setenforce 0
  • sh -c mount -o bind /tmp /proc/758
  • sh -c mount -o bind /tmp /proc/759
  • sh -c mount -o bind /tmp /proc/761
  • mount -o bind /tmp /proc/759
  • mount -o bind /tmp /proc/758
  • mount -o bind /tmp /proc/761
  • sh -c mount -o bind /tmp /proc/757
  • mount -o bind /tmp /proc/757
Выполняет операции с файловой системой:
Создает или модифицирует файлы:
  • /var/log/wtmp
  • /var/log/secure
  • /usr/sbin/developer
  • /run/mount/utab
Удаляет файлы:
  • /tmp/*
  • /var/tmp/*
  • /bin/netstat
  • /root/.bash_history
  • /
Монтирует файловые системы:
  • /tmp
Сетевая активность:
Ожидает входящих соединений на портах:
  • 127.0.0.1:13219
Устанавливает соединение:
  • 8.#.8.8:53
  • 3.##.#58.164:42022
Проводит атаку перебором по словарю (брутфорс) по протоколу Telnet.
DNS ASK:
  • sh####.ilove26.cf
Посылает данные следующим серверам:
  • 3.##.#58.164:42022
Получает данные от следующих серверов:
  • 3.##.#58.164:42022

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А