Техническая информация
Вредоносные функции:
Запускает себя в качестве демона
Модифицирует настройки брандмауэра:
- iptables -F
Управляет службами:
- service iptables stop
- systemctl stop iptables.service
Запускает процессы:
- <SAMPLE_FULL_PATH>
- bash -c
- id -u
- chattr -i /etc/ld.so.preload
- sysctl kernel.nmi_watchdog=0
- nproc --all
- sysctl -w vm.nr_hugepages=1
- chattr -R -ia /var/spool/cron
- chattr -ia /etc/crontab
- chattr -R -ia /var/spool/cron/crontabs
- chattr -R -ia /etc/cron.d
- chattr -iua /tmp/
- chattr -iua /var/tmp/
- ps aux
- grep -v grep
- xargs -I % kill -9 %
- egrep
- awk {print $2}
- grep -E
- kill -9 707
- ps auxf
- egrep xiaoyao|xiaoxue|mine.moneropool.com|pool.t00ls.ru|xmr.crypto-pool.fr|zhuabcn@yahoo.com|monerohash.com|/tmp/a7b104c270|xmrpool.eu|stratum.f2pool.com:8888
- grep -E xiaoyao|xiaoxue|mine.moneropool.com|pool.t00ls.ru|xmr.crypto-pool.fr|zhuabcn@yahoo.com|monerohash.com|/tmp/a7b104c270|xmrpool.eu|stratum.f2pool.com:8888
- egrep 2mr.sh|cr5.sh|luk-cpu|ficov|he.sh|nullcrew
- egrep wget|curl
- grep -E 2mr.sh|cr5.sh|luk-cpu|ficov|he.sh|nullcrew
- grep -E wget|curl
Пытается завершает следующие процессы:
- killall log_rot
Завершает следующие процессы:
- run.sh
Выполняет операции с файловой системой:
Создает или модифицирует файлы:
- /proc/sys/kernel/nmi_watchdog
- /etc/sysctl.conf
- /etc/selinux/config
- /proc/sys/vm/nr_hugepages
Сетевая активность:
Ожидает входящих соединений на портах:
- 127.0.0.1:52017
Устанавливает соединение:
- 127.0.0.1:9
- [:#1]:9
- [:##]:52017
- 127.0.0.1:52017
Прочее:
Собирает информацию о CPU
Собирает информацию об оперативной памяти
Собирает информацию о сетевой активности
