Backdoor.Linux.MIRAI.AS
ELF/Mirai.OX!tr (Fortinet)
Linux
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
IoTマルウェア「Mirai」の亜種で「APEP」と呼ばれるこのマルウェアは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性を利用します。マルウェアは、Telnetを介して、工場出荷時の初期設定の認証情報を使用して侵入し、さらに、「Huawei HG532」ルータのRCE脆弱性「CVE-2017-17215」を利用して拡散します。感染したLinuxマシンはボットネットの一部となり、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用されます。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download a file
- Performs various DDOS attacks
- Execute shell commands
- Uses default or easy-to-guess usernames and passwords to login to other devices
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- cnc.ar{BLOCKED}yz:4532
- scan.ar{BLOCKED}z:4532
その他
マルウェアは以下を実行します。
- マルウェアは、「Huawei HG532」ルータに影響を与える別のRCE脆弱性「CVE-2017-17215」を利用して他のデバイスに拡散します。
- マルウェアは、以下の認証情報を使用して、他のデバイスへのログインを試みます。
- 123456
- 888888
- 20150602
- 1q2w3e4r5
- 2011vsta
- 3ep5w2u
- admintelecom
- bcpb+serial#
- default
- e8ehome
- e8telnet
- fliruser
- guest
- huigu309
- juniper123
- klv1234
- linux
- maintainer
- Maxitaxi01
- super
- support
- taZz@01
- taZz@23495859
- telecomadmin
- telnetadmin
- tsgoingon
- vstarcam2015
- Zte521
- ZXDSL
- マルウェアは、コマンドラインで実行されると以下の文字列を表示します。
- CIA NIGGER
- マルウェアは、以下のいずれかの条件を満たすプロセスを終了します。
- 以下のいずれかのポートを使用するもの
- 23
- 8080
- 81
- 53413
- プロセスのメモリには、ボットネットに関連する文字列が含まれています。
- 以下のいずれかのポートを使用するもの
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- ファイルのダウンロード
- さまざまなDDoS攻撃の実行
- シェルコマンドの実行
- 初期設定の、または推測しやすいユーザ名とパスワードを使用して他のデバイスへのログイン
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.MIRAI.AS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください