Техническая информация
Вредоносные функции:
Оперирует следующими модулями ядра:
Запускает процессы:
- /bin/kill -62 0
- /usr/bin/kmod /sbin/insmod /tmp/.ijzytgih1146206044
- /tmp/.ttabitpztsklpwestd2788457712
- /usr/bin/kmod /sbin/lsmod
Завершает следующие процессы:
- swapper/0
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /tmp/.ttabitpztsklpwestd2788457712
Создает или модифицирует файлы:
- /tmp/.vtstcodnxq2258294132
- /tmp/.ttabitpztsklpwestd2788457712
- /tmp/.ijzytgih1146206044
Удаляет файлы:
- /tmp/.vtstcodnxq2258294132
- /tmp/.ttabitpztsklpwestd2788457712
- /tmp/.ijzytgih1146206044
Сетевая активность:
Устанавливает соединение:
- 8.#.8.8:53
- [2#######0:310c::ac42:2fb5]:9
- [2#######0:310c::ac42:2c4b]:9
- 17#.#6.47.181:9
- 17#.#6.44.75:9
- 17#.##.47.181:443
- [2#####8c1:3121::9]:9
- [2#####8c1:3120::9]:9
- [2#########90:0:f22e:fbec:5bed:a9b9]:9
- 17#.#5.251.78:9
- 17#.##.251.78:443
- 10#.##0.15.214:80
DNS ASK:
- df####ds.pages.dev
- gi##ab.com
Посылает данные следующим серверам:
- 17#.##.47.181:443
- 17#.##.251.78:443
- 10#.##0.15.214:80
Получает данные от следующих серверов:
- 17#.##.47.181:443
- 17#.##.251.78:443
- 10#.##0.15.214:80
Прочее:
Собирает информацию об ОС
Собирает информацию о CPU
