Trojan.Linux.XZBACKDOOR.A
別名:
Trojan.Linux.XZBackdoor (IKARUS)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定の脆弱性を利用した感染活動を実行します。
詳細
ファイルサイズ 1,773,076 bytes
タイプ Other
メモリ常駐 はい
発見日 2025年1月22日
ペイロード ファイルの作成, ファイルの変更
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {Installation Directory}/.libs/liblzma_la-crc64-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc64_fast.o
- {Installation Directory}/.libs/liblzma_la-crc32-fast.o → Legitimate copy of {Installation Directory}/.libs/liblzma_la-crc32_fast.o
- {Installation Directory}/liblzma_la-crc64-fast.o
- {Installation Directory}/liblzma.so.5.6.0
他のシステム変更
マルウェアは、以下のファイルを改変します。
- {Installation Directory}/.libs/liblzma_la-crc64_fast.c
- {Installation Directory}/.libs/liblzma_la-crc32_fast.c
- {Installation Directory}/src/liblzma/check/crc64_fast.c
- {Installation Directory}/src/liblzma/check/crc32_fast.c
その他
マルウェアは、以下を実行します。
- It will proceed with its malicious routine if the following conditions are met:
- Checks if GNU indirect function support is enabled.
- Requires shared library support.
- Checks if the system is an x86-64 Linux environment.
- Checks for CRC IFUNC (Indirect Function) codes.
- Checks if GCC (GNU Compiler Collection) and GNU ld (GNU Linker) are installed on the system.
- Checks for the presence of good-large_compressed.lzma and bad-3-corrupt_lzma2.xz.
- Checks if liblzma/Makefile contains all of the following lines within its content:
- am__uninstall_files_from_dir =
- __get_cpuid(
- am__install_max =
- am__vpath_adj_setup =
- am__include = include
- all: all-recursive
- LTLIBRARIES = \$(lib_LTLIBRARIES)
- AM_V_CCLD = \$(am__v_CCLD_\$(V))
- am__install_max =
- Checks if libtool is configured to build position-independent code (PIC).
- Checks if the environment is Debian-based or RPM-based (x86_64).
- It checks if the hijacked functions and hidden payloads are properly injected in the following files:
- {Installation Directory}/src/liblzma/check/crc64_fast.c
- {Installation Directory}/src/liblzma/check/crc32_fast.c
- {Installation Directory}/src/liblzma/check/crc_x86_clmul.h
- {Installation Directory}/src/liblzma/check/crc_x86_clmul.h
- Checks if libtool is configured to build with IFUNC-compatible flags.
- Checks if lazy symbol resolution (-z lazy) is NOT enabled.
- Checks if the malicious object file liblzma_la-crc64-fast.o exists.
- Upon successful completion of the build process, the backdoor functionality will be compiled and linked into the following file:
- {Installation Directory}/liblzma.so.5.6.0
- It waits for an OpenSSH connection and indirectly loads the liblzma.so.5.6.0 file, which contains the malicious code.
- It renames the following files to their original names if the build fails:
- {Installation Directory}/liblzma_la-crc32-fast.o → .libs/liblzma_la-crc32_fast.o
- {Installation Directory}/liblzma_la-crc64-fast.o → .libs/liblzma_la-crc64_fast.o
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- {インストールディレクトリ}/.libs/liblzma_la-crc64-fast.o → {インストールディレクトリ}/.libs/liblzma_la-crc64_fast.oの正規コピー
- {インストールディレクトリ}/.libs/liblzma_la-crc32-fast.o → {インストールディレクトリ}/.libs/liblzma_la-crc32_fast.oの正規コピー
- {インストールディレクトリ}/liblzma_la-crc64-fast.o
- {インストールディレクトリ}/liblzma.so.5.6.0
他のシステム変更
マルウェアは、以下のファイルを改変します。
- {インストールディレクトリ}/.libs/liblzma_la-crc64_fast.c
- {インストールディレクトリ}/.libs/liblzma_la-crc32_fast.c
- {インストールディレクトリ}/src/liblzma/check/crc64_fast.c
- {インストールディレクトリ}/src/liblzma/check/crc32_fast.c
その他
マルウェアは、以下を実行します。
- 以下の条件が満たされた場合、自身の不正活動を継続します。
- GNU indirect functionのサポートが有効になっているかどうかを確認します。
- 共有ライブラリのサポートが必要です。
- 感染コンピュータがx86-64 Linux環境であるかどうかを確認します。
- CRC IFUNC(Indirect Function)コードを確認します。
- GCC(GNU Compiler Collection)およびGNU ld(GNUリンカー)が感染コンピュータ上にインストールされているかどうかを確認します。
- 「good-large_compressed.lzma」および「bad-3-corrupt_lzma2.xz」の存在を確認します。
- liblzma/Makefileのコンテンツに以下の行がすべて含まれているかどうかを確認します。
- am__uninstall_files_from_dir =
- __get_cpuid(
- am__install_max =
- am__vpath_adj_setup =
- am__include = include
- all: all-recursive
- LTLIBRARIES = \$(lib_LTLIBRARIES)
- AM_V_CCLD = \$(am__v_CCLD_\$(V))
- am__install_max =
- libtoolが位置独立コード(PIC)をビルドするように設定されているかどうかを確認します。
- 感染環境がDebianベースかRPMベース(x86_64)かどうかを確認します。
- ハイジャックされた関数および隠しペイロードが以下のファイルに適切に埋め込まれているかどうかを確認します。
- {インストールディレクトリ}/src/liblzma/check/crc64_fast.c
- {インストールディレクトリ}/src/liblzma/check/crc32_fast.c
- {インストールディレクトリ}/src/liblzma/check/crc_x86_clmul.h
- {インストールディレクトリ}/src/liblzma/check/crc_x86_clmul.h
- libtoolがIFUNCの互換フラグを使用してビルドするように設定されているかどうかを確認します。
- シンボルの遅延解決(-z lazy)が有効になっていないかどうかを確認します。
- 不正なオブジェクトファイル「liblzma_la-crc64-fast.o」が存在するかどうかを確認します。
- ビルドプロセスが正常に完了すると、バックドア機能がコンパイルされ、以下のファイルにリンクされます。
- {インストールディレクトリ}/liblzma.so.5.6.0
- OpenSSH 接続を待機し、不正コードを含むファイル「liblzma.so.5.6.0」を間接的に読み込みます。
- ビルドが失敗した場合、以下のファイルの名前を元の名前に変更します。
- {インストールディレクトリ}/liblzma_la-crc32-fast.o → .libs/liblzma_la-crc32_fast.o
- {インストールディレクトリ}/liblzma_la-crc64-fast.o → .libs/liblzma_la-crc64_fast.o
マルウェアは、感染コンピュータ内の自身の痕跡を消去するために、以下のファイルを削除します。
- {インストールディレクトリ}/.libs/liblzma.a
- {インストールディレクトリ}/.libs/liblzma.la
- {インストールディレクトリ}/.libs/liblzma.lai
- {インストールディレクトリ}/.libs/liblzma.so
- {インストールディレクトリ}/.libs/liblzma_la-crc64-fast.o
- {インストールディレクトリ}/.libs/liblzma_la-crc32-fast.o
- {インストールディレクトリ}/liblzma_la-crc64-fast.o
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.850.04
初回 VSAPI パターンリリース日 2025年1月20日
VSAPI OPR パターンバージョン 19.851.00
VSAPI OPR パターンリリース日 2025年1月21日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.XZBACKDOOR.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください