Trend Micro Security

ELF_NETWRD.A

2012年9月3日
 解析者: Christopher Daniel So   

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、Linuxのオペレーティングシステム(OS)上で実行され、複数の人気インターネットアプリケーションによって保存されているパスワードを収集するように設計されています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。


  詳細

ファイルサイズ 64,400 bytes
タイプ ELF
メモリ常駐 はい
発見日 2012年8月24日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • {user's home path}/WIFIADAPT

自動実行方法

マルウェアは、以下のファイルを作成します。

  • {user's home path}/.config/autostart/WIFIADAPTER.desktop

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Get OS version, user name, host name, $PATH variable, home directory, malware process ID, current process path
  • Download a file and save it as /tmp/{random file name 1}, then execute the downloaded file
  • Exit
  • List files in a directory
  • Read a file
  • Write and close a file
  • Copy a file
  • Execute a file
  • Rename a file
  • Delete a file
  • Create a directory
  • Start remote shell
  • Kill a process
  • Get currently logged in users
  • Enumerate window titles of all processes
  • Download a file and save it as /tmp/{random file name 2}
  • Simulate keyboard press
  • Simulate mouse event
  • Get stored login credentials in Google Chrome, Chromium, Opera, Mozilla
  • Get the size of a file
  • Take a screenshot
  • Upload keylogger file {user's home path}/.m8d.dat
  • Clear keylogger file {user's home path}/.m8d.dat
  • Delete a file
  • Search for a file
  • Stop remote shell
  • List processes
  • Perform window operation
  • Get Pidgin passwords from {user's home path}/.purple/accounts.xml
  • Uninstall

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.208.65:4141

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

  • {user's home path}/.m8d.dat

その他

マルウェアが実行するコマンドは、以下のとおりです。

  • OSのバージョン、ユーザ名、ホスト名、PATH環境変数、ホームディレクトリ、マルウェアのプロセス識別子、カレントプロセスのパスといった情報の取得
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 1>" として保存、実行する
  • 自身の終了
  • ディレクトリ内のファイルのリスト化
  • ファイルの読み込み
  • ファイルを書き込み、閉じる
  • ファイルのコピー
  • ファイルの実行
  • ファイル名の改称
  • ファイルの削除
  • ディレクトリの作成
  • リモートシェルの開始
  • プロセスの終了
  • ログイン中のユーザに関する情報の取得
  • すべてのプロセスのウィンドウタイトルを列挙する
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 2>" として保存する
  • キーボードを押す力をシュミレートする
  • マウスイベントをシュミレートする
  • Thunderbird、SeaMonkeyおよびMozilla Firefoxに保存されているログイン情報の取得
  • ファイルサイズの取得
  • スクリーンショットの取得
  • キー入力操作情報のファイル "{user's home path}/.m8d.dat" のアップロード
  • キー入力操作情報のファイル "{user's home path}/.m8d.dat" の削除
  • ファイルの削除
  • ファイルの検索
  • リモートシェルの停止
  • プロセスの列挙
  • ウィンドウ操作の実行
  • "{user's home path}/.purple/accounts.xml" からインスタントメッセンジャ(IM)「Pidgin」のパスワードの取得
  • アンインストール

  •   対応方法

    対応検索エンジン: 9.200
    VSAPI OPR パターンバージョン 9.369.00
    VSAPI OPR パターンリリース日 2012年9月4日

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「ELF_NETWRD.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 2

    マルウェアのプロセスを終了します。

    1. このマルウェアのプロセスを終了するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してすべての実行中プロセスをリスト化してください。

      ps –A

    2. 手順 1で確認したこのマルウェアのパス名およびファイル名をこのプロセス内で確認します。そしてマルウェアのプロセス識別子を確認し、メモ等をとってください。
    3. 以下のコマンドを入力してください。

      kill <マルウェアのプロセス識別子>

    4. 「ターミナル」ウインドウを閉じてください。

    手順 3

    以下のファイルを検索し削除します。

    • {user's home path}/.config/autostart/WIFIADAPTER.desktop
    • {user's home path}/.m8d.dat

    手順 4

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_NETWRD.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください