解析者: Noel Anthony Llimos   
 別名:

HEUR:Backdoor.Linux.Vpnfilter.a (Kaspersky), ELF.Linux.VPNFilter.GC (Quickheal)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

2018年5月、世界 54 カ国余りで50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染したと報告されました。VPNFilter マルウェアは、モジュール化によって多段階の攻撃を実行する巧妙なマルウェアです。一般消費者向けのルータおよび「Network Attached Storage(NAS)」を対象として、三段階の攻撃を行います。第二段階のマルウェア(「ELF_VPNFILT.B」として検出)は、ファイル収集、コマンド実行、機器管理、データ送出のような情報窃取機能を備えています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 296,600 bytes
タイプ ELF
メモリ常駐 はい
発見日 2018年5月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Terminate its current process
  • Reboot the infected device
  • Delays the reboot of the device
  • Read local file contents
  • Execute commands or another plugin with the following Linux Shell Commands:
    • /bin/sh
    • /bin/ash
    • /bin/bash
    • /bin/shell
  • Delete system files, and directories
  • Set its C&C proxy
  • Set its C&C proxy port
  • Set its other configuration parameters

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}skd4gipkm.onion/bin32/update.php
  • {BLOCKED}.{BLOCKED}.180.60
  • {BLOCKED}.{BLOCKED}.202.40
  • {BLOCKED}.{BLOCKED}.179.14
  • {BLOCKED}.{BLOCKED}.209.33
  • {BLOCKED}.{BLOCKED}.250.54
  • {BLOCKED}.{BLOCKED}.180.229
  • {BLOCKED}.{BLOCKED}.242.124
  • {BLOCKED}.{BLOCKED}.109.209
  • {BLOCKED}.{BLOCKED}.13.76
  • {BLOCKED}.{BLOCKED}.203.144
  • {BLOCKED}.{BLOCKED}.80.82
  • {BLOCKED}.{BLOCKED}.222.68
  • {BLOCKED}.{BLOCKED}.198.231

情報漏えい

マルウェアは、以下の情報を収集します。

  • Mac Address
  • Platform Version
  • IP Address
  • Bootloader

<補足>
侵入方法

マルウェアは、リモートサイトから ELF_VPNFILT.A にダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。このフォルダは、ELF_VPNFILT.C が使用します。

  • /var/run/vpnfilterw

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • 現在のプロセスを終了する
  • 感染したデバイスを再起動する
  • デバイスの再起動を遅延させる
  • ローカルファイルの内容を読む
  • 以下のLinuxシェルコマンドで、コマンドまたは別のプラグインを実行する
    • /bin/sh
    • /bin/ash
    • /bin/bash
    • /bin/shell
  • システムファイルとディレクトリを削除する
  • C&Cプロキシを設定する
  • C&Cプロキシポートを設定する
  • 他の設定パラメータを設定する

情報漏えい

マルウェアは、以下の情報を収集します。

  • Macアドレス
  • プラットフォームバージョン
  • IPアドレス
  • ブートローダ

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.282.07
初回 VSAPI パターンリリース日 2018年5月24日
VSAPI OPR パターンバージョン 14.283.00
VSAPI OPR パターンリリース日 2018年5月25日

手順 1

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_VPNFILT.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 2

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 DATA_GENERIC
  • [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  • 検索が終了したら、フォルダを選択し、SHIFT+DELETEを押します。これにより、フォルダが完全に削除されます。


    • ご利用はいかがでしたか? アンケートにご協力ください