Backdoor.Linux.MTMBOT.ANU

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

マルウェアは、特定のフラッド攻撃を用いて、感染コンピュータ上から「サービス拒否（DoS）攻撃」を実行します。

マルウェアは、ソフトウェア内の脆弱性を利用します。これにより、不正リモートユーザまたはマルウェア等は、感染したコンピュータにファイルをダウンロードすることが可能となります。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

• http://{BLOCKED}.{BLOCKED}.197.109/eBxUk

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

• {BLOCKED}.{BLOCKED}.212.123

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

• #HellRoom

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• PING - return pong
• NICK - change nickname
• 352 - SPOOF REQUEST
• 376 - MODE, JOIN, WHO
• 433 - set nickname
• PRIVMSG :
  • GETIP - gets the IP address from an interface
  • FASTFLUX - starts a proxy to a port on another ip to an interface (same port)
  • RNDNICK - Randomizes the knights nick
  • NICK - Changes the nick of the client
  • SERVER - Changes servers
  • DISABLE - Disables all packeting from this client
  • ENABLE - Enables all packeting from this client
  • KILL - Kills the knight
  • GET - Downloads a file off the web and saves it onto the hd
  • VERSION - Requests version of client
  • KILLALL - Kills all current packeting
  • HELP - Displays this
  • IRC - Sends this command to the server
  • SH - Executes a command
  • ISH - SH, interactive, sends to channel
  • SHD - Executes a psuedo-daemonized command
  • INSTALL - Download & install a binary to /var/bin
  • BASH - Execute commands using bash.
  • LOCKUP - Kill telnet, d/l aes backdoor from , run that instead.
  • BINUPDATE - Update a binary in /var/bin via wget

Denial of Service（DoS）攻撃

マルウェアは、以下のフラッド攻撃を用いて、感染コンピュータ上からDoS攻撃を実行します。

• STUDP - Custom STD flooder v2
• HOLD - TCP connect flooder(frag)
• JUNK - TCP flooder (frag)
• UNKNOWN - Advanced UDP flooder
• HTTP - Custom HTTP flooder
• DNS - DNS amplification flooder
• VSE - Valve Source Engine amplification
• RTCP - Random TCP flooder
• ESSYN - TCP ESSYN flooder
• VOLT-UDP - Advanced Spoofed UDP flooder
• FRAG-TCP - Spoofed TCP Fragmentation Flooder
• BLACKNURSE - ICMP packet flooder

ダウンロード活動

マルウェアは、以下のソフトウェア内の脆弱性を利用します。これにより、不正リモートユーザまたはマルウェア等は、感染したコンピュータにファイルをダウンロードすることが可能となります。

• D-Link DSL-2750B - OS Command Injection
• GPON Routers - Authentication Bypass / Command Injection
• D-Link DIR-8xx Routers - Root Remote Code Execution
• Huawei Router HG532 - Arbitrary Command Execution
• MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution
• MikroTik RouterOS < 6.38.4 (MIPSBE) - 'Chimay Red' Stack Clash Remote Code Execution
• Crestron AM/Barco wePresent WiPG/Extron ShareLink/Teq AV IT/SHARP PN-L703WA/Optoma WPS-Pro/Blackbox HD WPS/InFocus LiteShow - Remote Command Injection
• Realtek SDK - Miniigd UPnP SOAP Command Execution
• Hootoo HT-05 - Remote Code Execution
• Vacron NVR Remote Code Execution Vulnerability