Ele não remove os produtos relacionados com segurança do sistema; o que faz é apagar componentes de onde o malware for copiado.

Segundo os investigadores, pode-se considerar um minerador de criptomoedas modificado em relação ao minerador XMR-Stak, o qual suporta CPUs, e processadores AMD e NVIDIA, processadores gráficos para fazer download das moedas.

A infeção começa a partir de uma câmara de IP de onde o atacante tenta carregar um ficheiro de cron (um ficheiro que serve para agendar uma tarefa a executar.

Eis as funções deste malware:

- A função B mata qualquer malware previamente instalado

- A função D faz download do minerador

- A função C faz download de um script, hxxp://yxarsh[.]shop/0, o qual vai criar um crontab e chamar pelo script principal a uma hora específica - 1 da manhã.

O minerador consegue implantar-se ele mesmo no sistema, na sua raíz, e sobreviver a reinícios do sistema.

Mais informações aqui: https://blog.trendmicro.com/trendlabs-security-intelligence/linux-coin-miner-copied-scripts-from-korkerds-removes-all-other-malware-and-miners/