Trend Micro Security

Backdoor.SH.PIMINE.AA

2020年2月17日
 解析者: Paul Steven Nadera   
 別名:

Linux/IRCBot.AU trojan (NOD32); HEUR:Backdoor.Linux.Agent.bc (Kaspersky); Trojan:Win32/Ircbrute (Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 4,746 bytes
タイプ , Script
メモリ常駐 はい
発見日 2017年8月23日
ペイロード ファイルの作成, URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • /opt/{random characters} -> a copy it drops if the script is not running as root

マルウェアは、以下のフォルダを作成します。

  • /root/.ssh

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • /root/.bashrc
  • /home/pi/.bashrc
  • /tmp/ktx*
  • /tmp/cpuminer-multi
  • /var/tmp/kaiten

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • ix1.{BLOCKED}et.org
  • ix2.{BLOCKED}et.org
  • Ashburn.Va.Us.{BLOCKED}et.org
  • Bucharest.RO.EU.{BLOCKED}et.Org
  • Budapest.HU.EU.{BLOCKED}et.org
  • Chicago.IL.US.{BLOCKED}et.org

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • bins.sh
  • minerd
  • node
  • nodejs
  • ktx-armv4l
  • ktx-i586
  • ktx-m68k
  • ktx-mips
  • ktx-mipsel
  • ktx-powerpc
  • ktx-sh4
  • ktx-sparc
  • arm5
  • zmap
  • kaiten
  • perl

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • {BLOCKED}.{BLOCKED}.0.1 bins.deutschland-{BLOCKED}g.eu

その他

マルウェアは、以下を実行します。

  • Executes the following commands to download libraries needed:
    • apt-get update -y --force-yes
    • apt-get install zmap sshpass -y --force-yes
  • Scans for networks with an open port 22 using Zmap and uses the credentials username: pi and password: raspberry or raspberryraspberry993311 to drop a copy and execute it.
  • Executes the following commands to change the password of user pi:
    • usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi
  • Allowed root to log in using this ssh key:
    • {BLOCKED}SIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmEqPqSNRQ/XDgM7qIB/VpYtAhK/7DoE8pqdoFNBU5+JlqeWYpsMO+qkHugKA5U22wEGs8xG2XyyDtrBcw10xz+M7U8Vpt0tEadeV973tXNNNpUgYGIFEsrDEAjbMkEsUw+iQmXg37EusEFjCVjBySGH3F+EQtwin3YmxbB9HRMzOIzNnXwCFaYU5JjTNnzylUBp/XB6B
  • Executes the following commands so that it will run upon boot:
    • sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
    • sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
    • sudo sh -c "echo 'exit 0' >> /etc/rc.local"

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.676.09
初回 VSAPI パターンリリース日 2020年2月11日
VSAPI OPR パターンバージョン 15.677.00
VSAPI OPR パターンリリース日 2020年2月12日

手順 1

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.SH.PIMINE.AA」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.SH.PIMINE.AA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください