解析者: Patrick Angelo Roderno   

 別名:

HEUR:Backdoor.Linux.Gafgyt.a (KASPERSKY); Trojan.Linux.Tsunami (IKARUS); Linux/DDoS-CIA (SOPHOS)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

マルウェアは、特定のフラッド攻撃を用いて、感染コンピュータ上から「サービス拒否(DoS)攻撃」を実行します。

マルウェアは、ソフトウェア内の脆弱性を利用します。これにより、不正リモートユーザまたはマルウェア等は、感染したコンピュータにファイルをダウンロードすることが可能となります。

  詳細

ファイルサイズ 160,360 bytes
タイプ ELF
ファイル圧縮 UPX
メモリ常駐 なし
発見日 2019年10月23日
ペイロード URLまたはIPアドレスに接続, DoS攻撃またはDDoS攻撃, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

  • http://{BLOCKED}.{BLOCKED}.197.109/eBxUk

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}.{BLOCKED}.212.123

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

  • #HellRoom

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • PING - return pong
  • NICK - change nickname
  • 352 - SPOOF REQUEST
  • 376 - MODE, JOIN, WHO
  • 433 - set nickname
  • PRIVMSG :
    • GETIP - gets the IP address from an interface
    • FASTFLUX - starts a proxy to a port on another ip to an interface (same port)
    • RNDNICK - Randomizes the knights nick
    • NICK - Changes the nick of the client
    • SERVER - Changes servers
    • DISABLE - Disables all packeting from this client
    • ENABLE - Enables all packeting from this client
    • KILL - Kills the knight
    • GET - Downloads a file off the web and saves it onto the hd
    • VERSION - Requests version of client
    • KILLALL - Kills all current packeting
    • HELP - Displays this
    • IRC - Sends this command to the server
    • SH - Executes a command
    • ISH - SH, interactive, sends to channel
    • SHD - Executes a psuedo-daemonized command
    • INSTALL - Download & install a binary to /var/bin
    • BASH - Execute commands using bash.
    • LOCKUP - Kill telnet, d/l aes backdoor from , run that instead.
    • BINUPDATE - Update a binary in /var/bin via wget

Denial of Service(DoS)攻撃

マルウェアは、以下のフラッド攻撃を用いて、感染コンピュータ上からDoS攻撃を実行します。

  • STUDP - Custom STD flooder v2
  • HOLD - TCP connect flooder(frag)
  • JUNK - TCP flooder (frag)
  • UNKNOWN - Advanced UDP flooder
  • HTTP - Custom HTTP flooder
  • DNS - DNS amplification flooder
  • VSE - Valve Source Engine amplification
  • RTCP - Random TCP flooder
  • ESSYN - TCP ESSYN flooder
  • VOLT-UDP - Advanced Spoofed UDP flooder
  • FRAG-TCP - Spoofed TCP Fragmentation Flooder
  • BLACKNURSE - ICMP packet flooder

ダウンロード活動

マルウェアは、以下のソフトウェア内の脆弱性を利用します。これにより、不正リモートユーザまたはマルウェア等は、感染したコンピュータにファイルをダウンロードすることが可能となります。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.458.04
初回 VSAPI パターンリリース日 2019年10月28日
VSAPI OPR パターンバージョン 15.459.00
VSAPI OPR パターンリリース日 2019年10月29日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.MTMBOT.ANU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください