Linux.Siggen.2960

Linux.Siggen.2960

Добавлен в вирусную базу Dr.Web: 2020-05-16

Описание добавлено: 2020-05-16

Вредоносные функции:

Запускает себя в качестве демона

Подменяет имя приложения на:

Заменяет следующие системные файлы:

Запускает процессы:

/bin/sh -c mkdir app && >app/lib && cd app/lib; mv <SAMPLE_FULL_PATH> app/lib; chmod 777 app/lib
mkdir app
mv <SAMPLE_FULL_PATH> app/lib
chmod 777 app/lib
/bin/sh -c cd /bin/; cat tftp > tftp-cpy; cat /proc/692/exe > tftp ; chmod 777 tftp
cat tftp
cat /proc/692/exe
chmod 777 tftp
/bin/sh -c cd /bin/; cat rm > rm-cpy; cat /proc/692/exe > rm ; chmod 777 rm
cat rm
chmod 777 rm
/bin/sh -c cd /bin/; cat cd > cd-cpy; cat /proc/692/exe > cd ; chmod 777 cd
cat cd
chmod 777 cd
/bin/sh -c cd /bin/; cat wget > wget-cpy; cat /proc/692/exe > wget ; chmod 777 wget
cat wget
chmod 777 wget
/bin/sh -c cd /bin/; cat echo > echo-cpy; cat /proc/692/exe > echo ; chmod 777 echo
cat echo
chmod 777 echo
/bin/sh -c cd /sbin/; cat tftp > tftp-cpy; cat /proc/692/exe > tftp ; chmod 777 tftp
/bin/sh -c cd /sbin/; cat rm > rm-cpy; cat /proc/692/exe > rm ; chmod 777 rm
/bin/sh -c cd /sbin/; cat cd > cd-cpy; cat /proc/692/exe > cd ; chmod 777 cd
/bin/sh -c cd /sbin/; cat wget > wget-cpy; cat /proc/692/exe > wget ; chmod 777 wget
/bin/sh -c cd /sbin/; cat echo > echo-cpy; cat /proc/692/exe > echo ; chmod 777 echo

Завершает системные процессы:

Выполняет операции с файловой системой:

Модифицирует права доступа к файлам:

Создает папки:

Создает или модифицирует файлы:

Сетевая активность:

Ожидает входящих соединений на портах:

Устанавливает соединение:

Проводит атаку перебором по словарю (брутфорс) по протоколу Telnet.

DNS ASK:

Посылает данные следующим серверам: