Pagina 1 di 1

Processo "mule" occupa CPU a più del 100%: che roba è???

Inviato: lun 30 ott 2017, 22:05
da joe
Ciao a tutti,
poco fà mi avevo sono tornato al PC che avevo lasciato acceso da ore mentre ero assente.

Ho trovato la CPU totalmente occupata, lo vedo da un plasmoide sul desktop
Verifico con top e salta fuori che ad occupare il processore è un processo chiamato "mule".
Cosa diamine è quella roba?

Verifico con "pgrep":

Codice: Seleziona tutto

# pgrep -wa mule
12226 /tmp/mule
12227 /tmp/mule
12228 /tmp/mule
12229 /tmp/mule
12230 /tmp/mule
12231 /tmp/mule
12232 /tmp/mule

Codice: Seleziona tutto

# ls -l /tmp/mule                     
/bin/ls: impossibile accedere a '/tmp/mule': File o directory non esistente
Qualcuno ha idea di cosa possa averlo fatto partire (come root tra l'altro: da top ho visto che il processo appartiene a root).
Non ho cercato bene in rete, ma non vorrei avere il sistema violato... Strano... ma non si sa mai. :-k
Cosa ne pensate?

Re: Processo "mule" occupa CPU a più del 100%: che roba è???

Inviato: mar 31 ott 2017, 10:05
da joe
Cercando "/tmp/mule" con google ho trovato questa pagina:
https://www.reverse.it/sample/a939633b3 ... mentId=300

Sembrerebbe trattarsi di una sorta di malware, in realtà è uno script di shell che fa tante cosette tra cui scaricare in /tmp un eseguibile chiamato appunto "mule" da questo indirizzo: http://ait7ee.win/mule.
Lo lancia e lo cancella, ecco perchè si vede tra i processi ma non c'è più in tmp.
Cosa diamine faccia quell'eseguibile non lo so. Però in qualche modo contatta anche questo indirizzo:
http://xmr.crypto-pool.fr/
Se si apre col browser riporta "solamente" la sua funzione:
mining server online
In effetti lo script "larva" è "taggato" come "coinminer".
Il chè spiegherebbe anche la CPU occupata a livelli spropositati.

Nella cache di google si trova "larva-script3" annoverato come "malicious".
https://webcache.googleusercontent.com/ ... clnk&gl=it

Insomma per farla breve si tratta di un malware.

Adesso mi piacerebbe capire come viene attivato... Cioè cos'altro insediato sul mio sistema lo fa partire... e come rimuoverlo completamente.
Inoltre mi piacerebbe anche capire come ho fatto a mettermi sul sistema quella robaccia.

Voi ne sapete nulla di roba del genere?

EDIT:
Aggiungo che l'eseguibile lanciato, quello chiamato "mule" pare essere anche noto come larva-mule-script4:
https://www.hybrid-analysis.com/sample/ ... mentId=300