Техническая информация
Для обеспечения автоматического запуска и распространения:
Создает или модифицирует следующие файлы:
- /var/spool/cron/crontabs/root
Вредоносные функции:
Получает доступ к ключам SSH
- /root/.ssh/authorized_keys
Запускает процессы:
- sleep 1
- rm -rf /.tempo
- crontab -r
- grep -q updat3
- chattr -R -iajtdu /var/tmp/.logs/.xmr
- chattr -R -iajtdu /var/spool/cron/crontabs
- cat /var/tmp/.logs/.xmr
- pgrep -x xmrig
- /usr/bin/mawk awk {print $1}
- chattr -iajtdu /root
- rm -rf /var/tmp/.logs/.xmr
- id -u
- mkdir /root/.ssh/
- chmod 600 /root/.ssh/authorized_keys
- <0x7c>
- crontab /.tempo
- chattr +ia /root/.ssh/authorized_keys
- sha256sum /xmrig
- crontab -l
- chattr -R -iajtdu /root/.ssh
- <SAMPLE_FULL_PATH> -c exec \x27<SAMPLE_FULL_PATH>\x27 \x22$@\x22 <SAMPLE_FULL_PATH>
Выполняет операции с файловой системой:
Модифицирует права доступа к файлам:
- /root/.ssh/authorized_keys
- /var/spool/cron/crontabs/tmp.HxNlQX
Создает папки:
- /root/.ssh
Создает или модифицирует файлы:
- /.tempo
- /var/spool/cron/crontabs/tmp.HxNlQX
Удаляет файлы:
- /.tempo
- /var/spool/cron/crontabs/root
Изменяет время создания/доступа/модификации файлов:
- /var/spool/cron/crontabs
Прочее:
Собирает информацию об ОС
Собирает информацию о CPU
