ELF_XORDDOS.A

2015年1月14日

解析者: Michael John Marcos

別名:

ELF:Xorddos-D [Rtk] (Avast), Hacktool.Rootkit (Symantec),

プラットフォーム:

Mac OS X, Unix, Linux

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

詳細

ファイルサイズ 15,787 bytes

タイプ ELF

メモリ常駐はい

発見日 2015年1月9日

ペイロードシステムセキュリティへの感染活動, ファイルのダウンロード, ファイルおよびプロセスの隠ぺい

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

UNIX_XORDDOS.A

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

/boot/{random value}
/lib/udev/udev

自動実行方法

マルウェアは、以下のファイルを作成します。

/etc/cron.hourly/cron.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

Start Denial of Service
Stop Denial of Service
Update malware
Download and execute file
Terminate Process
Request MD5 Hash of running malware

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}.{BLOCKED}.9.228

ただし、情報公開日現在、このサーバには接続できません。

ルートキット機能

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}o.3000uc.com/config.rar

対応方法

対応検索エンジン: 9.700

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_XORDDOS.A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください