• Email
• Facebook
• Twitter
• Google+
• Linkedin

Backdoor.Linux.XORDDOS.F

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /usr/bin/{random characters}
• /lib/libudev.so
• /tmp/{random characters}
• /bin/{random characters}

自動実行方法

マルウェアは、以下のファイルを作成します。

• /etc/cron.hourly/gcc.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Execute files
• Download files
• Update Malware
• Delete Files
• Terminate Process
• Remove Services
• Remove Self
• Perform DDoS attack
• Hide Files
• Create Services
• Create Directory
• Hide Port
• Copy Files

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• 1{BLOCKED}9.223.16
• 1{BLOCKED}9.223.17
• 1{BLOCKED}9.223.18
• 1{BLOCKED}9.223.19
• 5{BLOCKED}8.136
• 5{BLOCKED}8.137
• 5{BLOCKED}8.138
• 5{BLOCKED}8.139
• 5{BLOCKED}200.184
• 5{BLOCKED}200.185
• 5{BLOCKED}200.186
• 5{BLOCKED}200.187
• 5{BLOCKED}183.108
• 5{BLOCKED}183.109
• 5{BLOCKED}183.110
• 5{BLOCKED}183.111
• 5{BLOCKED}240.164
• 5{BLOCKED}240.165
• 5{BLOCKED}240.166
• 5{BLOCKED}240.167
• 5{BLOCKED}52.12
• 51{BLOCKED}2.13
• 51{BLOCKED}2.14
• 51{BLOCKED}2.15
• 51{BLOCKED}0.84
• 51{BLOCKED}0.85
• 51{BLOCKED}0.86
• 51{BLOCKED}0.87
• w{BLOCKED}ggatat456.com/dd.rar
• p{BLOCKED}ulidny7.com
• p{BLOCKED}gata789.com
• p{BLOCKED}xatat456.com
• p{BLOCKED}gatat456.com

情報漏えい

マルウェアは、以下の情報を収集します。

• Memory Information
• CPU Information
• Network Speed
• PID of Running Process
• MD5 of Running Process

その他

マルウェアは、以下を実行します。

• Drops a shell script in /etc/init.d/{random characters} folder which setups the auto-start mechanism of the malware.
• Creates symbolic links which points to the script in /etc/init.d/{random characters}:
  • /etc/rc{1-5}.d/S90{random numbers}
  • /etc/rc.d/rc{1-5}.d/S90{random numbers}
• Read the following from its configuration file:
  • md5 - checksum of file
  • denyip - open communication with an IP
  • filename - list of filename
  • rmfile - files to remove
• Uses the following User Agents:
  • POST/GET %s HTTP/1.1 /
    Accept: */*
    Accept-Language: zh-cn
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ;.NET CLR 1.1.4322)
    Connection: Keep-Alive
    Host:
    Content-Type: application/x-www-form-urlencoded
    Content-Length:
• Get the magic string value from the file /var/run/gcc.pid
• It modify /bin/chkconfig to add its copy as a service.

＜補足＞
インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /usr/bin/{ランダムな文字}
• /lib/libudev.so
• /tmp/{ランダムな文字}
• /bin/{ランダムな文字}

自動実行方法

マルウェアは、以下のファイルを作成します。

• /etc/cron.hourly/gcc.sh (Cronは、UNIX系コンピュータのOSの時間ベースのジョブスケジューラです。)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• ファイルの実行
• ファイルのダウンロード
• マルウェアの更新
• ファイルの削除
• プロセスの終了
• サービスの削除
• 自身の削除
• 「分散型サービス拒否（DDoS）攻撃」の実行
• ファイルの隠ぺい
• サービスの作成
• ディレクトリの作成
• ポートの隠ぺい
• ファイルのコピー

情報漏えい

マルウェアは、以下の情報を収集します。

• メモリ情報
• CPU情報
• ネットワークの速度
• 実行中プロセスのPID
• 実行中プロセスのMD5

その他

マルウェアは、以下を実行します。

• マルウェアの自動起動を設定するフォルダ「/etc/init.d/{ランダムな文字}」内にシェルスクリプトを作成します。
• 「/etc/init.d/{ランダムな文字}」内のシェルスクリプトを示す以下のシンボリックリンクを作成します。
  • /etc/rc{1-5}.d/S90{ランダムな数字}
  • /etc/rc.d/rc{1-5}.d/S90{ランダムな数字}
• マルウェアは、自身の環境設定ファイルから以下を読み込みます。
  • md5 - ファイルのチェックサム
  • denyip - IPとの通信を開く
  • filename - ファイル名のリスト
  • rmfile - 削除するファイル
• マルウェアは、以下のユーザエージェントを使用します。
  • POST/GET %s HTTP/1.1 /
    Accept: */*
    Accept-Language: zh-cn
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ;.NET CLR 1.1.4322)
    Connection: Keep-Alive
    Host:
    Content-Type: application/x-www-form-urlencoded
    Content-Length:
• マルウェアは、マジックストリングの値をファイル「/var/run/gcc.pid」から取得します。
• マルウェアは、「/bin/chkconfig」を改変して、自身のコピーをサービスとして追加します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください