• Email
• Facebook
• Twitter
• Google+
• Linkedin

Backdoor.Linux.XORDDOS.AE

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /lib/libudev.so
• /usr/bin/{random}

自動実行方法

マルウェアは、以下のファイルを作成します。

• /etc/cron.hourly/gcc4.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Execute files
• Download files
• Update Malware
• Delete Files
• Terminate Process
• Remove Services
• Remove Self
• Perform DDoS attack
• Hide Files
• Create Services
• Create Directory
• Hide Port
• Copy Files

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• {BLOCKED}.{BLOCKED}.9.228:53

情報漏えい

マルウェアは、以下の情報を収集します。

• Memory Information
• CPU Information
• Network Speed
• PID of Running Process
• MD5 of Running Process

その他

マルウェアは、以下を実行します。

• Drops a shell script in /etc/init.d/{random characters} folder which setups the auto-start mechanism of the malware.
• Creates symbolic links which points to the script in /etc/init.d/{random characters}:
  • /etc/rc{1-5}.d/S90{random numbers}
  • /etc/rc.d/rc{1-5}.d/S90{random numbers}
• Read the following from its configuration file:
  • md5 - checksum of file
  • denyip - open communication with an IP
  • filename - list of filename
  • rmfile - files to remove
• Uses the following User Agents:
  • POST/GET %s HTTP/1.1 /
    Accept: */*
    Accept-Language: zh-cn
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ;.NET CLR 1.1.4322)
    Connection: Keep-Alive
    Host:
    Content-Type: application/x-www-form-urlencoded
    
• Get the magic string value from the file /var/run/gcc.pid
• It modify /bin/chkconfig to add its copy as a service.

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください