Backdoor.Linux.KAITEN.AMV

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCチャンネルに参加します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

• #xxx

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• c4k.xpl.{BLOCKED}s.pw
• {BLOCKED}.{BLOCKED}.75.25
• {BLOCKED}.{BLOCKED}.11.170

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• 352 - used to send spoof request
• 376 - used to execute the following commands: Mode, Join, Who
• 433 - used to set nickname
• PRIVMSG:
  • TSUNAMI - DDOS
  • PAN - SYN flood
  • UDP - UDP flood
  • UNKNOWN - Another non-spoof UDP flood
  • NICK - Changes the nick of the client
  • SERVER - Changes servers
  • GETSPOOFS- Gets the current spoofing
  • SPOOFS - Changes spoofing to a subnet
  • DISABLE- Disables all packeting from this client
  • ENABLE - Enables all packeting from this client
  • KILL - Kills the client
  • GET - Downloads a file off the web and saves it onto the hd
  • VERSION - Requests version of client
  • KILLALL - Kills all current packeting
  • HELP - Displays the list of command
  • IRC - Sends this command to the server
  • SH - Executes a command
• PING - used to get Pong
• JOIN - used to give channels or nickname operators control
• KICK - used to join a specified channel
• NICK - used to get the nickname

その他

マルウェアは、以下を実行します。

• It reads the contents of the following files:
  • /etc/hosts
  • /etc/resolv.conf