Coinminer.Unix.MALXMR.AA

2018年9月20日

分(fēn)析者: Noel Anthony Llimos

BASH/CoinMiner.AS!tr.dldr (Fortinet)

平台:

Linux

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Coinminer
有(yǒu)破坏性？:
没有(yǒu)
加密？:
没有(yǒu)
In the Wild:
是的

概要

感染途徑: 从互联网上下载，或由其他(tā)恶意软件释放。

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

技(jì )术详细信息

文(wén)件大小(xiǎo): 5,155 bytes

报告日期: Script

内存驻留: 是的

初始樣本接收日期: 2018年9月19日

Payload: 删除文(wén)件, 终止进程, 下载文(wén)件, 连接到 URL/Ip

其他(tā)系统修改

它删除下列文(wén)件：

/boot/grub/deamon
/boot/grub/disk_genius
/tmp/*index_bak*
/tmp/*httpd.conf*
/tmp/*httpd.conf
/tmp/a7b104c270
/tmp/ddg
/tmp/wnTKYg
/tmp/conn
/tmp/conns
/tmp/irq.sh
/tmp/irqbalanc1
/tmp/irq

进程终止

它终止在受感染的系统内存中(zhōng)运行的下列进程：

Sourplum
wnTKYg
AnXqV.yam
biosetjenkins
Loopback
apaceha
cryptonight
stratum
mixnerdx
performedl
JnKihGjn
irqba2anc1
irqba5xnc1
irqbnc1
ir29xc1
conns
irqbalance
crypto-pool
minexmr
XJnRj
NXLAi
BI5zj
askdljlqw
minerd
minergate
Guard.sh
ysaydh
bonns
donns
kxjd
Duck.sh
bonn.sh
conn.sh
kworker34
kw.sh
pro.sh
polkitd
acpid
icb5o
nopxi
irqbalanc1
minerd
i586
gddr
mstxmr
ddg.2011
wnTKYg
deamon
disk_genius

解决方案

最小(xiǎo)扫描引擎: 9.850

First VSAPI Pattern File: 14.514.03

VSAPI 第一样式发布日期: 2018年9月19日

VSAPI OPR样式版本: 14.515.00

VSAPI OPR样式发布日期: 2018年9月20日

Step 1

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 3

确定和终止Coinminer.Unix.MALXMR.AA检测到的文(wén)件

[ 更多(duō) ]

对于Windows 98和ME用(yòng)户，Windows任務(wù)管理(lǐ)器可(kě)能(néng)不显示所有(yǒu)运行进程。在此情况下，请使用(yòng)第三方进程查看程序（推荐Process Explorer）终止恶意软件/灰色软件/间谍软件文(wén)件。您可(kě)以从处下载上述工(gōng)具(jù)。
如果检测到的文(wén)件出现在Windows任務(wù)管理(lǐ)器或Process Explorer中(zhōng)但不能(néng)删除，请重启计算机进入安(ān)全模式。请参阅该链接了解完整步骤。
如果检测到的文(wén)件未在Windows任務(wù)管理(lǐ)器或Process Explorer中(zhōng)出现，请继续下列步骤。

Step 4

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，并删除检测到的Coinminer.Unix.MALXMR.AA文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。