Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.Siggen.376

Added to the Dr.Web virus database: 2018-01-09

Virus description added:

Technical Information

To ensure autorun and distribution:
Creates or modifies the following files:
  • /etc/inittab
  • /etc/rc.local
Malicious functions:
Modifies router settings:
  • /bin/nvram
Launches processes:
  • sh -c cat /etc/inittab | grep -v \"<SAMPLE_FULL_PATH>\" > /etc/inittab2
  • sh -c crontab -l | grep <SAMPLE_FULL_PATH> || (crontab -l ; echo \"*/5 * * * * <SAMPLE_FULL_PATH> > /dev/null 2>&1 &\") | crontab - > /dev/null 2>&1 &
  • cat /etc/inittab
  • grep -v <SAMPLE_FULL_PATH>
  • grep <SAMPLE_FULL_PATH>
  • crontab -l
  • sh -c echo \"0:2345:respawn:<SAMPLE_FULL_PATH>\" >> /etc/inittab2
  • crontab -
  • sh -c cat /etc/inittab2 > /etc/inittab
  • cat /etc/inittab2
  • sh -c rm -rf /etc/inittab2
  • rm -rf /etc/inittab2
  • sh -c touch -acmr /bin/ls /etc/inittab
  • touch -acmr /bin/ls /etc/inittab
  • sh -c cp -f <SAMPLE_FULL_PATH> /dev/shm/<SAMPLE>
  • sh -c /bin/uname -n
  • sh -c nvram get router_name
  • cp -f <SAMPLE_FULL_PATH> /dev/shm/<SAMPLE>
  • /bin/uname -n
  • sh -c cat /etc/inittab | grep -v \"/dev/shm/<SAMPLE>\" > /etc/inittab2
  • sh -c crontab -l | grep /dev/shm/<SAMPLE> || (crontab -l ; echo \"*/5 * * * * /dev/shm/<SAMPLE> > /dev/null 2>&1 &\") | crontab - > /dev/null 2>&1 &
  • grep -v /dev/shm/<SAMPLE>
  • grep /dev/shm/<SAMPLE>
  • sh -c echo \"0:2345:respawn:/dev/shm/<SAMPLE>\" >> /etc/inittab2
  • sh -c cp -f <SAMPLE_FULL_PATH> /var/tmp/<SAMPLE>
  • cp -f <SAMPLE_FULL_PATH> /var/tmp/<SAMPLE>
  • sh -c cat /etc/inittab | grep -v \"/var/tmp/<SAMPLE>\" > /etc/inittab2
  • sh -c crontab -l | grep /var/tmp/<SAMPLE> || (crontab -l ; echo \"*/5 * * * * /var/tmp/<SAMPLE> > /dev/null 2>&1 &\") | crontab - > /dev/null 2>&1 &
  • grep -v /var/tmp/<SAMPLE>
  • grep /var/tmp/<SAMPLE>
  • sh -c echo \"0:2345:respawn:/var/tmp/<SAMPLE>\" >> /etc/inittab2
  • sh -c cp -f <SAMPLE_FULL_PATH> /var/lock/<SAMPLE>
  • cp -f <SAMPLE_FULL_PATH> /var/lock/<SAMPLE>
  • sh -c cat /etc/inittab | grep -v \"/var/lock/<SAMPLE>\" > /etc/inittab2
  • sh -c crontab -l | grep /var/lock/<SAMPLE> || (crontab -l ; echo \"*/5 * * * * /var/lock/<SAMPLE> > /dev/null 2>&1 &\") | crontab - > /dev/null 2>&1 &
  • grep -v /var/lock/<SAMPLE>
  • grep /var/lock/<SAMPLE>
  • sh -c echo \"0:2345:respawn:/var/lock/<SAMPLE>\" >> /etc/inittab2
  • sh -c cp -f <SAMPLE_FULL_PATH> /var/run/<SAMPLE>
  • cp -f <SAMPLE_FULL_PATH> /var/run/<SAMPLE>
  • sh -c cat /etc/inittab | grep -v \"/var/run/<SAMPLE>\" > /etc/inittab2
  • sh -c crontab -l | grep /var/run/<SAMPLE> || (crontab -l ; echo \"*/5 * * * * /var/run/<SAMPLE> > /dev/null 2>&1 &\") | crontab - > /dev/null 2>&1 &
  • grep -v /var/run/<SAMPLE>
  • grep /var/run/<SAMPLE>
  • sh -c echo \"0:2345:respawn:/var/run/<SAMPLE>\" >> /etc/inittab2
Performs operations with the file system:
Modifies file access rights:
  • /var/spool/cron/crontabs/tmp.0W4FXm
  • /var/spool/cron/crontabs/tmp.ha6VIU
  • /var/spool/cron/crontabs/tmp.sbrPNX
  • /var/spool/cron/crontabs/tmp.0ARyis
  • /var/spool/cron/crontabs/tmp.XRng3w
Creates or modifies files:
  • /tmp/.ubntmuh
  • /etc/inittab2
  • /var/spool/cron"/crontabs/tmp.0W4FXm
  • /var/spool/cron/crontabs/tmp.0W4FXm
  • /dev/shm/<SAMPLE>
  • /var/spool/cron"/crontabs/tmp.ha6VIU
  • /var/spool/cron/crontabs/tmp.ha6VIU
  • /var/tmp/<SAMPLE>
  • /var/spool/cron"/crontabs/tmp.sbrPNX
  • /var/spool/cron/crontabs/tmp.sbrPNX
  • /var/lock/<SAMPLE>
  • /run/lock/<SAMPLE>
  • /var/spool/cron"/crontabs/tmp.0ARyis
  • /var/spool/cron/crontabs/tmp.0ARyis
  • /var/run/<SAMPLE>
  • /run/<SAMPLE>
  • /var/spool/cron"/crontabs/tmp.XRng3w
  • /var/spool/cron/crontabs/tmp.XRng3w
Deletes files:
  • /etc/inittab2"
Network activity:
Awaits incoming connections on ports:
  • 127.0.0.1:61000
Connects to the following servers over the IRC protocol:
  • Server: 14#.#4.163.168; Command: NICK i686|0|9947675|unknown\nUSER muhstik localhost localhost :muhstik-1207\n
  • Server: 14#.#4.163.168; Command: PONG :BEC6066C\n
  • Server: 14#.#4.163.168; Command: MODE i686|0|9947675|unknown -xi\n
  • Server: 14#.#4.163.168; Command: JOIN #muhstik-i586 :0599\n
  • Server: 14#.#4.163.168; Command: WHO i686|0|9947675|unknown\n

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série