Trojan.SH.BROOTKIT.A
HEUR:Trojan.Shell.Agent.u (KASPERSKY); BV:Agent-BGD [Trj] (AVAST)
Linux
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
マルウェアは、ダウンロードしたファイルを実行します。この結果、マルウェアの不正活動が感染コンピュータ上で展開されることとなります。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- /usr/lib/...
- /tmp/...
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /usr/lib/.../diskmanagerd
- /tmp/.../diskmanagerd
- /tmp/.../just4root
マルウェアは、実行後、自身を削除します。
他のシステム変更
マルウェアは、以下のファイルを削除します。
- /usr/lib/.../diskmanagerd
- /tmp/.../just4run
- /tmp/.../pxe
- /tmp/.../pxe.c
- /tmp/.../.d1r7y.txt
- /tmp/.h
- /tmp/.hh
- /tmp/.helpdd
- /tmp/.../
- /tmp/.../brootkit.sh
- /tmp/.../install.sh
- /tmp/vxbkyxrlq2hly2s
- /usr/lib/.../kacpi_notify
- /tmp/moni.lod
- /tmp/gates.lod
- /etc/init.d/selinux
- /etc/init.d/DbSecuritySpt
- /etc/rc1.d/S97DbSecuritySpt
- /etc/rc2.d/S97DbSecuritySpt
- /etc/rc3.d/S97DbSecuritySpt
- /etc/rc4.d/S97DbSecuritySpt
- /etc/rc5.d/S97DbSecuritySpt
- /usr/bin/bsd-port/conf.n
- /usr/bin/bsd-port/getty
- /usr/bin/bsd-port/getty.lock
- /tmp/pythompy
- /etc/rc1.d/S99selinux
- /etc/rc2.d/S99selinux
- /etc/rc3.d/S99selinux
- /etc/rc4.d/S99selinux
- /etc/rc5.d/S99selinux
作成活動
マルウェアは、以下のファイルを作成します。
- /tmp/.helpdd
- /etc/cron.hourly/gcc4lef.sh
- /tmp/.../just4run
ダウンロード活動
マルウェアは、ダウンロードしたファイルを実行します。この結果、マルウェアの不正活動が感染コンピュータ上で展開されることとなります。
その他
マルウェアは、以下を実行します。
- It creates the following cron jobs for persistence:
- Path: /etc/cron.hourly/gcc4lef.sh
- Schedule: Every 3 minutes
- Command: */3 * * * * root /etc/cron.hourly/gcc4lef.sh
- It does the following once an Anti-Virus program is running on the affected machine:
- safedog
- Uninstall the following:
- sddev
- Terminates the following:
- safedog
- sdmonitor
- sdcc
- udcenter
- sdcmd
- sdsvrd
- Sdacm
- Udpro
- sduibin
- Deletes the following:
- /etc/sd_uninstall
- /etc/init.d/sdccboot
- /etc/init.d/safedog
- /etc/init.d/sdboot
- /etc/init.d/udboot
- /etc/rc2.d/S99sdccboot
- /etc/rc3.d/S99sdccboot
- /etc/rc4.d/S99sdccboot
- /etc/rc5.d/S99sdccboot
- /etc/rc2.d/S99udboot
- /etc/rc3.d/S99udboot
- /etc/rc4.d/S99udboot
- /etc/rc5.d/S99udboot
- /etc/rc2.d/S99sdboot
- /etc/rc3.d/S99sdboot
- /etc/rc4.d/S99sdboot
- /etc/rc5.d/S99sdboot
- /usr/bin/sdcc
- /usr/bin/sdmonitor
- /usr/bin/sd_autoexmn
- /usr/bin/runsdcc
- /usr/bin/sdccboot
- /usr/bin/udboot
- /usr/bin/udcenter
- /usr/bin/udpro
- /usr/bin/sdalarm
- /usr/bin/sdsetos
- /usr/bin/safedog_uninstall
- /usr/bin/safedog
- /usr/bin/sdboot
- /usr/bin/sdstart
- /usr/bin/sdsvrd
- /usr/bin/sdwebdir
- /usr/bin/sdrtdefendupdate
- /usr/bin/sdcmd
- /usr/bin/sdtest
- /usr/bin/sdui
- /usr/bin/sduibin
- /usr/bin/sdcloud
- /usr/bin/udinstall
- /usr/bin/sdacm
- /usr/bin/sdrepo
- /usr/bin/uduninstall
- /usr/bin/SDDownload
- /etc/sdinfo.conf
- /etc/udcenter.conf
- /etc/safedog
- /etc/safedog/libs/safedog
- /etc/safedog/libs/sdcommon
- /etc/safedog/libs/sdcc
- /etc/cloudhelper
- /etc/init.d/sdccboot
- /etc/init.d/rc2.d/S99sdccboot
- /etc/init.d/rc3.d/S99sdccboot
- /etc/init.d/rc4.d/S99sdccboot
- /etc/init.d/rc5.d/S99sdccboot
- /etc/rc2.d/S99sdccboot
- /etc/rc3.d/S99sdccboot
- /etc/rc4.d/S99sdccboot
- /etc/rc5.d/S99sdccboot
- /etc/safedog/sdcc/bin/sdcc
- /usr/bin/sdcc
- /etc/safedog/sdcc/script/runsdcc
- /usr/bin/runsdcc
- /etc/safedog/sdcc/script/sdccboot
- /usr/bin/sdccboot
- /etc/safedog/logs/sdcc.log
- /etc/safedog/sdcc/script/udboot
- /etc/safedog/sdcc/bin/udcenter
- /etc/safedog/sdcc/bin/udpro
- /etc/safedog/sdcc/bin/sdalarm
- /etc/safedog/server/script/sdsetos
- /etc/safedog/script/safedog_uninstall
- /etc/sd_uninstall/
- aegis
- Uninstall the following:
- /etc/init.d/aegis
- Terminates the following:
- /etc/init.d/aegis
- aegis_cli
- aegis_update
- AliYunDun
- AliHids
- AliYunDunUpdate
- Deletes the following:
- /etc/init.d/aegis
- /etc/runlevels/default/aegis
- /etc/rc2.d/S80aegis
- /etc/rc3.d/S80aegis
- /etc/rc4.d/S80aegis
- /etc/rc5.d/S80aegis
- /etc/rc.d/rc2.d/S80aegis
- /etc/rc.d/rc3.d/S80aegis
- /etc/rc.d/rc4.d/S80aegis
- /etc/rc.d/rc5.d/S80aegis
- /usr/local/aegis/aegis_client
- /usr/local/aegis/aegis_update
- /usr/local/aegis/alihids
- yunsuo
- Uninstall the following:
- /usr/local/yunsuo_agent
- Terminates the following:
- yunsuo
- /etc/init.d/yunsuo
- Deletes the following:
- /etc/init.d/yunsuo
- clamd
- Terminates the following:
- clamd
- /etc/init.d/avast
- Deletes the following files:
- all files related to clamav
- Terminates the following:
- avast
- /etc/init.d/avast
- Deletes the following:
- all files related to avast
- Terminates the following:
- avgd
- /etc/init.d/avgd
- Deletes the following:
- /opt/avg/
- all files related to avg
- Terminates the following:
- cmdavd
- Cmdmgd
- /etc/init.d/cmdavd
- /etc/init.d/cmdmgd
- Deletes the following:
- /opt/COMODO
- all files related to CAV_LINUX
- Terminates the following:
- drweb-spider-kmod
- drweb-configd
- /etc/init.d/drweb-spider-kmod
- /etc/init.d/drweb-configd
- Deletes the following:
- /opt/drweb.com
- all files related to drweb
- Terminates the following:
- /etc/init.d/esets
- Deletes the following:
- /opt/eset/
- Uninstall the following:
- /usr/share/xmirror/scripts
- Terminates the following:
- xmirrord
- /etc/init.d/xmirrord
- Deletes the following:
- all files related to xmirrord
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、以下のセキュリティ対策製品が存在しているかを確認します。
- safedog
- aegis
- yunsuo
- clamd
- avast
- avgd
- cmdavd
- cmdmgd
- drweb-configd
- drweb-spider-kmod
- esets
- xmirrord
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.BROOTKIT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください