威胁百科全书

Trojan.Linux.SKIDMAP.UWEJX

Publish date: 九月 03, 2019

分析者:

Wilbert Luy

平台:

Linux

总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:

  • 恶意软件类型: Trojan

  • 有破坏性?: 没有

  • 加密?: 没有

  • In the Wild 是的

概要

感染途徑:

从互联网上下载, 下降了其他恶意软件


它删除文件,禁止程序和应用程序正常运行。

技术详细信息

文件大小:

1,094,648 bytes

报告日期:

ELF

内存驻留:

No

初始樣本接收日期:

30 8月 2019

Payload:

连接到 URL/Ip, 下载文件, 删除文件

安装

它植入下列文件:

  • /lib64/security/pam_unix.so -> if 64-bit, compromised pam_unix.so file
  • /lib/x86_64-linux-gnu/security/pam_unix.so -> if 32-bit, compromised pam_unix.so file
  • /root/.ssh/authorized_keys

其他系统修改

它删除下列文件:

  • /usr/bin/kaudited
  • /usr/bin/kswaped
  • /usr/bin/irqbalanced
  • /usr/bin/rctlcli
  • /usr/bin/systemd-network
  • /usr/bin/pamdicks
  • /lib/udev/ssd_control/iproute.ko
  • /lib/udev/ssd_control/netlink.ko
  • /lib/udev/ssd_control/cryptov2.ko

进程终止

它终止在受感染的系统内存中运行的下列进程:

  • kaudeited
  • kswaped
  • systemd-network
  • rctlcli
  • irqbalanced
  • ip6network
  • pamdicks

下载例程

它使用下列文件名保存下载的文件:

  • /usr/include/cos7.tar.gz

解决方案

最小扫描引擎:

9.850

First VSAPI Pattern File:

15.340.04

VSAPI 第一样式发布日期:

02 9月 2019

VSAPI OPR样式版本:

15.341.00

VSAPI OPR样式发布日期:

03 9月 2019

使用趋势科技产品扫描计算机,并删除检测到的Trojan.Linux.SKIDMAP.UWEJX文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。


请接受我们的调查!

通过以下社交网站联系我们