Összefoglaló
A Remaiten nevű, linux operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely robothálózati tevékenységet végez.
Leírás
A kártevő különféle módokon terjed az interneten.
Mikor letöltődik megpróbál a TCP23-as porton kapcsolódni, majd bruteforce támadással feltörni a belépési adatokat. Ha sikerrel jár, feltölti magát a távoli helyre.
Főként beágyazott rendszereket fertőz mint routerek hálózati átjárók vagy vezeték nélküli AP-k.
Mikor a trójai aktiválódik, ellenőrzi hogy MIPS ARM X86 architektúrájú eszközön fut-e. Ha nem akkor befejezi működését.
Ezek után hátsó kaput nyit, majd kapcsolódik az alábbi IP címek egyikéhez:
- 185.130.104.131
- 185.130.5.201
- 185.130.5.202
- A kártevő az alábbi tevékenységeket végezheti:
- Letölt fájlokat
- Más IP címeket scannel nyitot telnet porokat keresve
- Ddos támadásokban vesz részt
- Ellenőrzi a futó folyamatokat
- Fájlokat tölt fel a kiszolgálóra
SHA1:
- 25a7cf2969ce154aa90891e844a6af84fc89d396
- 1fe1872cf18cd0101f0870ca58f68d6686010326
- 1cc2b57978ba2e611403ba11bf9129fb810fae5c
- c552edd72495514765f6a8f26aee8a6da2a57992
- e875f54b7bd967c4f9ae59d85ed60991561b097b
- ebf2bc43b6b5a4b8933f4ed8ed4a4beaceaecff5
- 11a13d2eeb71573178d7686930340c51c8f3ce26
- 8d26cd7d34d84745a897d474aa2ac9b8d1943d68
- e80aba63ba30a2048ba780c35eae65e8b95627f7
- e280b220c2ea2668d1a2ad82bdc64922e8b9ec86
- 8decb1f0e94497ef31f13c6e07ff2a021cf0972f
- 17006c899fbce3f86ddfb93539033c363816ad19
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.virusradar.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.welivesecurity.com
