HackTool.Win64.NETCAT.A
RemoteAdmin.Win32.NetCat.bnr (KASPERSKY)
Windows
マルウェアタイプ:
ハッキングツール
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、ワーム活動の機能を備えていません。
プログラムは、バックドア活動の機能を備えていません。
プログラムは、情報収集する機能を備えていません。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染活動
プログラムは、ワーム活動の機能を備えていません。
バックドア活動
プログラムは、バックドア活動の機能を備えていません。
ルートキット機能
プログラムは、ルートキット機能を備えていません。
情報漏えい
プログラムは、情報収集する機能を備えていません。
その他
プログラムは、以下を実行します。
- It can be used to do the following:
- Connect to Remote Host
- Listen for Inbound Connections
- Scan Ports
- Dump Traffic (Hex)
- Enable Zero-I/O Mode
- Execute Programs
- Run in Background Mode
- Set Delay Interval
- Persist Listening
- Randomize Ports
- Specify Local Port
- Specify Local Source Address
- Configure Source-Routing
- Switch to UDP Mode
- Send CRLF
- Enable Verbose Output
- Handle TELNET Negotiation
- Set Timeout
- Use Numeric IP Addresses
- Depending on the intentions of the malicious user, the effects of this hacking tool may vary. This hacking tool is a program that utilizes the following vulnerabilities:
- It uses the following version of NetCat:
- v1.12
マルウェアは、以下のパラメータを受け取ります。
- -d → detach from console, background mode.
- -e prog → execute an inbound program.
- -g gateway → source-routing hop point(s), up to 8.
- -G num → source-routing pointer (4, 8, 12, ...).
- -h → display help.
- -i secs → delay interval for lines sent, ports scanned.
- -l → listen mode for inbound connections.
- -L → listen harder, re-listen on socket close.
- -n → numeric-only IP addresses, no DNS.
- -o file → hex dump of traffic.
- -p port → local port number.
- -r → randomize local and remote ports.
- -s addr → local source address.
- -t → answer TELNET negotiation.
- -c → send CRLF instead of just LF.
- -u → UDP mode.
- -v → verbose mode (twice for more verbose).
- -w secs → timeout for connects and final net reads.
- -z → Zero-I/O mode (used for scanning).
<補足>
プログラムは、以下を実行します。
- プログラムは、以下の目的に使用される可能性があります。
- リモートホストへの接続
- インバウンド接続の待機(リッスン)
- ポートのスキャン
- トラフィックのダンプ(16進数)
- Zero-I/Oモードの有効化
- プログラムの実行
- バックグラウンドモードでの実行
- 遅延時間の設定
- 待機状態の維持
- ポートのランダム化
- ローカルポートの指定
- ローカル・ソースアドレスの指定
- ソースルーティングの設定
- UDPモードへの切り替え
- CRLFの送信
- 詳細出力の有効化
- TELNETネゴシエーションの処理
- タイムアウトの設定
- IPアドレス(数値)の使用
- ユーザの意図に応じて、このプログラムがもたらす影響は異なる場合があります。このプログラムは、以下の脆弱性を利用します。
- 以下のバージョンのNetCatを使用します。
- v1.12
プログラムは、以下のパラメータを受け取ります。
- -d → コンソールから切り離し、バックグラウンド・モードにする
- -e prog → 受信したプログラムを実行する
- -g gateway → ソースルーティング・ホップポイント(最大8個)。
- -G num → ソースルーティング・ポインター(4、8、12、...)
- -h → ヘルプを表示する
- -i secs → 通信の送信、ポートのスキャンにかかる遅延時間
- -l → インバウンド接続に対する待機モード
- -L → より待機状態を維持するため、ソケットが閉じたときに再び待機する
- -n →数値のみのIPアドレス、DNSは用いない。
- -o ファイル → トラフィックの16進ダンプ
- -p port → ローカルポート番号
- -r → ローカルポートおよびリモートポートをランダム化する
- -s addr → ローカル送信元アドレス
- -t → TELNETネゴシエーションに応答する
- -c → LFだけでなくCRLFも送信する
- -u → UDPモード
- -v → 詳細モード(2回指定するとより詳細になる)
- -w secs → 接続および最終的なネット読み取りのタイムアウト
- -z → Zero-I/Oモード(スキャンに使用)
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.NETCAT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください