ELF_TSUNAMI.DFI
a variant of Linux/Tsunami.NCD (ESET-NOD32) ; Trojan:Win32/Skeeyah.A!rfn (Mircosoft); HEUR:Backdoor.Linux.Tsunami.bj (Kaspersky)
Linux
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}.{BLOCKED}.18.114
- {BLOCKED}.{BLOCKED}.18.119
- {BLOCKED}.{BLOCKED}.18.121
- {BLOCKED}.{BLOCKED}.220.124
- {BLOCKED}.{BLOCKED}.15.55
- {BLOCKED}.{BLOCKED}.125.36
- {BLOCKED}.{BLOCKED}.199.94
- {BLOCKED}.{BLOCKED}.199.98
- {BLOCKED}.{BLOCKED}.32.30
マルウェアは、以下のいずれかのIRCチャンネルに接続します。
- #{Architecture} (or #0x86)
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- UNKNOWN {target} {secs} - this performs a non-spoof UDP flood to a specific target at n seconds interval
- PAN {target} {port} {secs} - this performs an advanced SYN flood to a specific target at n seconds interval
- UDP {target} {port} {secs} - this performs a UDP flood to a specific target at n seconds interval
- GETSPOOFS - this prevents anyone from tracking the source of the DoS attack
- SPOOFS {subnet} - changes spoofing to a subnet
- GET {HTTP address} {save as} - this downloads and saves a file
- IRC {command} - this sends commands to the IRC server
- SH {command} - this executes shell commands
- XMAS {target} {port} {secs} {packet} {random/not} - sends an packet attack to specified target and port this generates packets.
- CBACK {ip} {port} -connects back to shell 2_9062015
- KILLALL - terminate background threads or current packetings
- DNS {Domain} - translates domain to ip
- JUNK {target} {port} {time} {threads} - tcp flooder sends 1 byte of garbage data
- STD {target} {port} {secs} - This triggers the bot to perform a denial of service (DoS) attack on a specific target by sending packets at n seconds interval
- STD2 {target} {port} {secs} {trash_data} - Triggers the bot to perform a denial of service (DoS) attack and also allows user to specify garbage data
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- UNKNOWN {target} {secs} - 特定のターゲットへの非スプーフィングUDPフラッドをn秒間隔で実行する。
- PAN {target} {port} {secs} - 特定のターゲットへの高度なSYNフラッドをn秒間隔で実行する
- UDP {target} {port} {secs} - 特定のターゲットへのUDPフラッドをn秒間隔で実行する
- GETSPOOFS - DoS攻撃のソース追跡を回避する
- SPOOFS {subnet} - スプーフィングをサブネットに変更する
- GET {HTTP address} {save as} - ファイルをダウンロードして保存する
- IRC {command} - IRCサーバにコマンドを送信する
- SH {command} - シェルコマンドを実行する
- XMAS {target} {port} {secs} {packet} {random / not} - 指定されたターゲットとポートに、生成したパケット攻撃を送信する
- CBACK {ip} {port} - シェル2_9062015に接続を戻す
- KILLALL - バックグラウンドスレッドまたは現在のパケットを終了する
- DNS {Domain} - ドメインをIPに変換する
- JUNK {target} {port} {time} {threads} - tcp flooderが1バイトのガベージデータを送信する
- STD {target} {port} {secs} - 特定のターゲットに対してn秒間隔でパケットを送信することによってDoS(サービス拒否)攻撃をボットが実行するトリガー
- STD2 {target} {port} {secs} {trash_data} - ボットがDoS攻撃を実行するためのトリガー。また、ユーザがガベージデータを特定できるようにする
その他
マルウェアは、crontabに以下のエントリを追加して、毎分自動実行されるようにします。
- crontab * * * * * /{Malware path}/{Malware Filename}> /dev/null 2>&1 &
マルウェアは、情報を窃取するために以下のコマンドを実行します。
- /bin/uname -ユーザ名
- /bin/nvram or /usr/sbin/nvram - NVRAMを表示する
- /etc/ISP_name - ISP名
- /etc/Model_name - ルータのモデル名
マルウェアは、引数の1つに以下の文字列を確認した場合、意図した不正活動を実行しません。
- strace
- ltrace
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_TSUNAMI.DFI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください