Backdoor.Linux.DOFLOO.AB
2020年6月5日
別名:
Backdoor.Linux.Dofloo.c (KASPERSKY); ELF/Dofloo.C!tr(FORTINET)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
ファイルサイズ 1,001,465 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年6月4日
ペイロード DoS攻撃またはDDoS攻撃, 情報収集
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- sed -i -e '/exit/d' /etc/rc.local
- sed -i -e '/^\r\n|\r|\n$/d' /etc/rc.local
- sed -i -e '/%s/d' /etc/rc.local
- sed -i -e '2 i%s/%s' /etc/rc.local
- sed -i -e '2 i%s/%s start' /etc/rc.d/rc.local
- sed -i -e '2 i%s/%s start' /etc/init.d/boot.local
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Initiate DDoS attacks:
- TCP flood
- Challenge Collapsar (CC) attack
- Stop DDoS attack
- Execute shell commands
情報漏えい
マルウェアは、以下の情報を収集します。
- CPU information
- Memory statistics
- IP address of infected machine
- Reads the following information from /proc:
- /proc/stat
- /proc/meminfo
- /proc/cpuinfo
- /proc/net/dev
- /proc/self/exe
- /proc/self/maps
- /proc/sys/vm/overcommit_memory
- /proc/sys/kernel/rtsig-max
- /proc/sys/kernel/ngroups_max
- /proc/sys/kernel/osrelease
- /proc/self/fd/%d/%s
- /proc/self/fd
- /proc/net
その他
マルウェアは、以下のファイルを開きます。
- /etc/host.conf
- /etc/resolv.conf
- /etc/nsswitch.conf
- /etc/suid-debug
- /etc/ld.so.cache
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.910.04
初回 VSAPI パターンリリース日 2020年6月4日
VSAPI OPR パターンバージョン 15.911.00
VSAPI OPR パターンリリース日 2020年6月5日
最新のバージョン(エンジン、スパイウェアパターンファイル)を導入したウイルス対策製品を用い、スパイウェア検索を実行してください。「Backdoor.Linux.DOFLOO.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください