Trend Micro Security

Backdoor.Linux.NEKO.AC

2019年7月30日
 解析者: Patrick Angelo Roderno   

 別名:

HEUR:Trojan.Linux.Agent.fy (KASPERSKY); Win32/Trojan.d88 (QIHOO-360); Backdoor.Mirai!8.E05B (TFE:15:0G9VZX56qtK) (RISING)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。


  詳細

ファイルサイズ 21,204 bytes
タイプ ELF
ファイル圧縮 UPX
メモリ常駐 なし
発見日 2019年7月29日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Change CnC
  • Execute shell command
  • Kill specified processes
  • Launch UDP flood
  • Run scanner function and propagate via exploit

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.39.198

プロセスの終了

マルウェアは、以下の不正プログラムに関連するプロセスを終了します。

  • 902i13
  • BzSxLxBxeY
  • HOHO-LUGO7
  • HOHO-U79OL
  • JuYfouyf87
  • NiGGeR69xd
  • SO190Ij1X
  • LOLKIKEEEDDE
  • Ex0420
  • ekjheory98e
  • rzr
  • EXTENDO
  • scansh4
  • MDMA
  • fdevalvex
  • scanspc
  • MELTEDNINJAREALZ
  • flexsonskids
  • scanx86
  • MISAKI-U79OL
  • foAxi102kxe
  • swodjwodjwoj
  • MmKiy7f87l
  • freecookiex86
  • sysgpu
  • frgege
  • sysupdater
  • 0DnAzepd
  • NiGGeRD0nks69
  • frgreu
  • 0x766f6964
  • NiGGeRd0nks1337
  • gaft
  • urasgbsigboa
  • 120i3UI49
  • OaF3
  • geae
  • vaiolmao
  • 123123a
  • Ofurain0n4H34D
  • ggTrex
  • ew
  • wasads
  • 1293194hjXD
  • OthLaLosn
  • ggt
  • wget-log
  • cupsddh
  • 1337SoraLOADER
  • SAIAKINA
  • atddd
  • sksapdd
  • ggtq
  • 1378bfp919GRB1Q2
  • SAIAKUSO
  • skysapdd
  • ggtr
  • 14Fa
  • SEXSLAVE1337
  • ggtt
  • 1902a3u912u3u4
  • haetrghbr
  • 19ju3d
  • SORAojkf120
  • hehahejeje92
  • 2U2JDJA901F91
  • SlaVLav12
  • helpmedaddthhhhh
  • 2wgg9qphbq
  • Slav3Th3seD3vices
  • hzSmYZjYMQ
  • 5Gbf
  • sora
  • SoRAxD123LOL
  • iaGv
  • 5aA3
  • SoRAxD420LOL
  • insomni
  • 640277
  • SoraBeReppin1337
  • ipcamCache
  • 66tlGg9Q
  • 6ke3
  • TOKYO3
  • lyEeaXul2dULCVxh
  • 93OfjHZ2z
  • TY2gD6MZvKc7KU6r
  • mMkiy6f87l
  • A023UU4U24UIU
  • TheWeeknd
  • mioribitches
  • A5p9
  • TheWeeknds
  • mnblkjpoi
  • AbAd
  • Tokyos
  • neb
  • Akiru
  • U8inTz
  • netstats
  • Alex
  • W9RCAKM20T
  • newnetword
  • Ayo215
  • g1abc4dmo35hnp2lie0kjf
  • Word
  • nloads
  • BAdAsV
  • Wordmane
  • notyakuzaa
  • Belch
  • Wordnets
  • obp
  • BigN0gg0r420
  • X0102I34f
  • ofhasfhiafhoi
  • X19I239124UIU
  • oism
  • 8Deported
  • XSHJEHHEIIHWO
  • olsVNwo12
  • DeportedDeported
  • XkTer0GbA1
  • onry0v03
  • FortniteDownLOLZ
  • Y0urM0mGay
  • pussyfartlmaojk
  • GrAcEnIgGeRaNn
  • YvdGkqndCO
  • qGeoRBe6BE
  • GuiltyCrown
  • ZEuS69
  • s4beBsEQhd
  • HOHO-KSNDO
  • ZEuz69
  • sat1234
  • aj93hJ23
  • scanHA
  • alie293z0k2L
  • scanJoshoARM
  • HellInSide
  • ayyyGangShit
  • scanJoshoARM5
  • HighFry
  • b1gl
  • scanJoshoARM6
  • IWhPyucDbJ
  • boatnetz
  • scanJoshoARM7
  • IuYgujeIqn
  • btbatrtah
  • scanJoshoM68K
  • JJDUHEWBBBIB
  • scanJoshoMIPS
  • JSDGIEVIVAVIG
  • cKbVkzGOPa
  • scanJoshoMPSL
  • ccAD
  • scanJoshoPPC
  • KAZEN-OIU97
  • chickenxings
  • scanJoshoSH4
  • yakuskzm8
  • KAZEN-PO78H
  • cleaner
  • scanJoshoSPC
  • KAZEN-U79OL
  • dbeef
  • scanJoshoX86
  • yakuz4c24
  • KETASHI32
  • ddrwelper
  • scanarm5
  • zPnr6HpQj2
  • Kaishi-Iz90Y
  • deexec
  • scanarm6
  • zdrtfxcgy
  • Katrina32
  • doCP3fVj
  • scanarm7
  • zxcfhuio
  • Ksif91je39
  • scanm68k
  • Kuasa
  • dvrhelper
  • scanmips
  • KuasaBinsMate
  • eqnOhRk8s
  • scanmpsl
  • LOLHHHOHOHBUI
  • eXK20CL12Z
  • nya
  • mezy
  • QBotBladeSPOOKY
  • hikariwashere
  • p4029x91xx
  • 32uhj4gbejh
  • zhr
  • lzrd
  • PownedSecurity69
  • .ares
  • fxlyazsxhy
  • jnsd9sdoila
  • yourmomgaeis
  • sdfjiougsioj
  • Oasis
  • SEGRJIJHFVNHSNHEIHFOS
  • apep999
  • KOWAI-BAdAsV
  • KOWAI-SAD
  • jHKipU7Yl
  • airdropmalware
  • your_verry_fucking_gay
  • Big-Bro-Bright
  • sefaexec
  • shirololi
  • eagle.
  • For-Gai-Mezy
  • 0x6axNL
  • cloqkisvspooky
  • myth
  • SwergjmioG
  • KILLEJW(IU(JIWERGFJGJWJRG
  • Hetrh
  • APEP
  • wewrthe
  • IuFdKssCxz
  • jSDFJIjio
  • OnrYoXd666
  • ewrtkjoketh
  • ajbdf89wu823
  • AAaasrdgs
  • REKAI
  • WsGA4@F6F
  • GhostWuzHere666
  • BOGOMIPS
  • sfc6aJfIuY
  • Demon.
  • xeno-is-god
  • ICY-P-0ODIJ
  • gSHUIHIfh
  • wrgL
  • hu87VhvQPz
  • dakuexecbin
  • TacoBellGodYo
  • loligang
  • PRIVMSG
  • Execution
  • orbitclient
  • Amnesia
  • Owari
  • UnHAnaAW
  • DUP
  • Eats8
  • z3hir
  • obbo
  • miori
  • eagle
  • MASUTA
  • doxxRollie
  • WHOIS
  • KILLATTK
  • daddyl33t
  • lessie.
  • 1gba4cdom53nhp12ei0kfj
  • 9u123448u124au814d4x10
  • hax.
  • yakuza
  • wordminer
  • v[0v
  • minerword
  • SinixV4
  • hoho
  • g0dbu7tu
  • orphic
  • furasshu
  • horizon
  • assailant
  • Ares
  • Kawaiihelper
  • ECHOBOT
  • DEMONS
  • kalon
  • Josho
  • daddyscum
  • akira.ak
  • Hilix
  • daku
  • Tsunami
  • estella
  • Solar
  • rift
  • _-255.Net
  • Cayosin
  • Okami
  • Kosha
  • bushido
  • trojan
  • shiina
  • Reaper.
  • Corona.
  • wrgnuwrijo
  • Aka
  • Hari
  • orage
  • fibre
  • galil
  • stresserpw
  • stresser.pw
  • Tohru
  • Omni
  • kawaii
  • Frosti
  • sxj472sz
  • HU6FIZTQU
  • PFF1500RG
  • plzjustfuckoff
  • nvitpj
  • elfLoad
  • Amakano
  • tokupdater
  • /dev/netslink/
  • /dev/FTWDT101_watchdog
  • cum-n-go
  • oblivion
  • Voltage
  • Votan
  • .anime
  • scanppc

その他

マルウェアは、以下の脆弱性を利用して感染活動を実行します。


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.264.07
初回 VSAPI パターンリリース日 2019年7月29日
VSAPI OPR パターンバージョン 15.265.00
VSAPI OPR パターンリリース日 2019年7月30日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.NEKO.AC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください