解析者: Michael John Marcos   

 別名:

ELF:Xorddos-D [Rtk] (Avast), Hacktool.Rootkit (Symantec),

 プラットフォーム:

Mac OS X, Unix, Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

  詳細

ファイルサイズ 15,787 bytes
タイプ ELF
メモリ常駐 はい
発見日 2015年1月9日
ペイロード システムセキュリティへの感染活動, ファイルのダウンロード, ファイルおよびプロセスの隠ぺい

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • UNIX_XORDDOS.A

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /boot/{random value}
  • /lib/udev/udev

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /etc/cron.hourly/cron.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Start Denial of Service
  • Stop Denial of Service
  • Update malware
  • Download and execute file
  • Terminate Process
  • Request MD5 Hash of running malware

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}.{BLOCKED}.9.228

ただし、情報公開日現在、このサーバには接続できません。

ルートキット機能

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}o.3000uc.com/config.rar

  対応方法

対応検索エンジン: 9.700

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_XORDDOS.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください