Trend Micro Security

ELF_IRCBOT.SPIN

2017年7月6日
 解析者: Jeanne Jocson   
 別名:

DDoS:Linux/Lightaidra (Microsoft), Linux/IRCBot.N (NOD32)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

  詳細

ファイルサイズ 40,228 bytes
タイプ ELF
メモリ常駐 はい
発見日 2016年10月28日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}.{BLOCKED}.42.218

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

  • ##war## (with channel key: FuckTheSystem)

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • PING
    • replies the following:
      • PONG {host|master host}
      • TOPIC ##war##
  • 376 or 422
    • Changes the mode of the current channel:
      • invite only
      • enable amsg command
    • Joins the said channel
  • 433
    • Access the Bin Path
    • change/use the nickname
    • Joins the said channel
  • STOP
    • terminates itself
    • sends private message:
      • host mask:#xpl
      • message:Terminate tutte le operazioni in corso(Translated as "Terminate all the ongoing operations")
  • QUIT
    • Terminate the client session
    • Terminate itself
  • SCAN
      • sends private message:
    • host mask:#xpl
    • message:Scan Started Range {random}.{random}.0.0 Hosts:512)
  • Tries to have a remote desktop connection to random IP and tries to login using the following credentials:
      • Username:
      • root
      • admin
      • Admin
      • user
      • 1234
      • D-Link
      Password:
      • root
      • admin
      • ttnet
      • Admin
      • password
      • nokia
      • XA1bac0MX
      • 1234
      • cobr4
      • dreambox
      • public
      • 0987654321
      • 1234567
      • toor
      • xj14p3r7
      • home-modem
      • D-Link
      • user
      • 12345
      • 1111
      • changeme2
      • default
      • administrator
      • 1234567890
      • private
      • 654321
      • 87654321
      • 123456789
      • admin1234567890
      • changeme
      • admin1234
      • 123456
      • 4321
      • 54321
      • 1234admin
      • 2222
      • 1q2w3e
      • qwerty
      • 7654321
      • 987654321
      • 12345678
      • 3333
      • 6666
      • 8888
      • 0000
      • 4444
      • 5555
      • 7777
      • 9999
      • 12345Admin
      • 56789Admin
      • 1234Admin
    • does the following to the remote machine:
      • create directory:/var/...
      • delete files under /var/
      • connects to the following URL to download file http://{BLOCKED}.{BLOCKED}.42.218/dn.sh
      • saves the downloaded file as: /var/.../dn.sh
      • stops firewall
    • sends the following private message when logged in successfully:
      • host mask:#xpl
      • message:Scan Accesso Effettutato Indirizzo:{ip} User:{username} Pass:{password}
  • SILENCE(turn off)
    • sends private message:
      • host mask:#xpl
      • message:Messaggi attivati(Translated as "Messages Activated")
  • EXEC
    • read the following path and send the content as private message:
      • Path:
      • /bin/{filename}
      • /sbin/{filename}
      • /usr/bin/{filename}
      • /usr/local/bin/{filename}
      • /usr/sbin/{filename}
      host mask:#xpl

    • その他

    マルウェアは、自身のIRCサーバにアクセスする際に以下の認証情報を利用します。

    • we.own.your.ass (server password)

      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 12.872.06
    初回 VSAPI パターンリリース日 2016年11月1日
    VSAPI OPR パターンバージョン 12.873.00
    VSAPI OPR パターンリリース日 2016年11月2日

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「ELF_IRCBOT.SPIN」で検出したパス名およびファイル名を確認し、メモ等をとってください。


    ご利用はいかがでしたか? アンケートにご協力ください