Backdoor.Linux.NOODLERAT.ZKJJ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /tmp/CCCCCCCCCCCCCCCC → deletes afterwards

マルウェアは、以下のプロセスを追加します。

• "/tmp/CCCCCCCCCCCCCCCC"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Reverse Shell
• File Management (Create/Search Directory, Rename/Delete/Upload/Download File)
• Timer Management (Get current time, Set next execution time)
• Socks Tunneling

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.174.15:443

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

その他

マルウェアは、以下を実行します。

• Run itself as a daemon
• It sends the output of the executed command back to the C&C Server
• It checks for the current time and day
  • if it matches it's config, it will attempt to connect to it's C&C Server
  • if not, it will sleep then will check for the current time and day after the specified time
• It can create either the following files that contains a timestamp (year, month, day, hour, minutes) for when the C&C connection will connect
  • /usr/include/sdfwex.h
  • /tmp/.llock

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /tmp/CCCCCCCCCCCCCCCC → 後に削除される

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• リバースシェル
• ファイルの管理 （ディレクトリの作成/検索 、ファイルの名前変更/削除/アップロード/ダウンロード）
• タイマーの管理 （現在時刻の取得、次の実行時間の設定）
• Socksトンネリング

その他

マルウェアは、以下を実行します。

• 自身をデーモンとして実行
• 実行されたコマンドの出力を C&C サーバに返送
• 現在の日時の確認
  • 自身の設定と一致する場合、C&C サーバへの接続を試みます。
  • 一致しない場合は、スリープ状態になり、指定された時刻以降の現在の日時を確認します。
• いつC&Cサーバに接続するか設定されたタイムスタンプ (年、月、日、時、分) を含む、以下のいずれかのファイルを作成する可能性があります。
  • /usr/include/sdfwex.h
  • /tmp/.llock