Um eine korrekte Funktionsweise unserer Website zu gewährleisten, müssen Sie die Unterstützung für JavaScript in Ihrem Browser aktivieren.
Linux.Siggen.2955
Added to the Dr.Web virus database:
2020-05-16
Virus description added:
2020-05-16
Technical Information
Malicious functions:
Launches itself as a daemon
Substitutes application name for:
Replaces the following system files:
Launches processes:
sh -c mkdir app && >app/lib && cd app/lib; mv <SAMPLE_FULL_PATH> app/lib; chmod 777 app/lib
mkdir app
mv <SAMPLE_FULL_PATH> app/lib
chmod 777 app/lib
sh -c cd /bin/; cat tftp > tftp-cpy; cat /proc/580/exe > tftp ; chmod 777 tftp
cat tftp
cat /proc/580/exe
chmod 777 tftp
sh -c cd /bin/; cat rm > rm-cpy; cat /proc/580/exe > rm ; chmod 777 rm
cat rm
chmod 777 rm
sh -c cd /bin/; cat cd > cd-cpy; cat /proc/580/exe > cd ; chmod 777 cd
cat cd
chmod 777 cd
sh -c cd /bin/; cat wget > wget-cpy; cat /proc/580/exe > wget ; chmod 777 wget
cat wget
chmod 777 wget
sh -c cd /bin/; cat echo > echo-cpy; cat /proc/580/exe > echo ; chmod 777 echo
cat echo
chmod 777 echo
sh -c cd /sbin/; cat tftp > tftp-cpy; cat /proc/580/exe > tftp ; chmod 777 tftp
sh -c cd /sbin/; cat rm > rm-cpy; cat /proc/580/exe > rm ; chmod 777 rm
sh -c cd /sbin/; cat cd > cd-cpy; cat /proc/580/exe > cd ; chmod 777 cd
sh -c cd /sbin/; cat wget > wget-cpy; cat /proc/580/exe > wget ; chmod 777 wget
sh -c cd /sbin/; cat echo > echo-cpy; cat /proc/580/exe > echo ; chmod 777 echo
Kills system processes:
Kills the following processes:
Performs operations with the file system:
Modifies file access rights:
/root/app/lib
/bin/tftp
/bin/rm
/bin/cd
/bin/wget
/bin/echo
/sbin/tftp
/sbin/rm
/sbin/cd
/sbin/wget
/sbin/echo
Creates folders:
Creates or modifies files:
/root/app/lib
<SAMPLE_FULL_PATH>
/bin/tftp-cpy
/bin/tftp
/bin/rm-cpy
/bin/rm
/bin/cd-cpy
/bin/cd
/bin/wget-cpy
/bin/echo-cpy
/bin/echo
/sbin/tftp-cpy
/sbin/tftp
/sbin/rm-cpy
/sbin/rm
/sbin/cd-cpy
/sbin/cd
/sbin/wget-cpy
/sbin/echo-cpy
/sbin/echo
Network activity:
Awaits incoming connections on ports:
Establishes connection:
Attacks using a special dictionary (brute-force technique) via the Telnet protocol.
DNS ASK:
Sends data to the following servers:
23#.##.5.36:2323
25#.##.172.226:2323
25.###.113.85:2323
21#.###.233.148:2323
64.##7.5.3:2323
Curing recommendations
Linux
Free trial
One month (no registration) or three months (registration and renewal discount)
Laden Sie Dr.Web für Android herunter
Kostenlos für 3 Monate
Alle Schutzkomponenten
Verlängerung der Testversion über AppGallery/Google Pay
Wenn Sie diese Webseite weiter benutzen, bedeutet dies, dass Sie mit der Verarbeitung von Cookies sowie dem Einsatz anderer Technologien zur Sammlung von statistischen Nutzerdaten einverstanden sind. Mehr dazu
OK