Trend Micro Security

HackTool.Win64.NETCAT.A

2024年6月25日
 解析者: Neljorn Nathaniel Aguas   
 別名:

RemoteAdmin.Win32.NetCat.bnr (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

プログラムは、情報収集する機能を備えていません。

  詳細

ファイルサイズ 45,272 bytes
タイプ EXE
メモリ常駐 なし
発見日 2024年6月3日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

情報漏えい

プログラムは、情報収集する機能を備えていません。

その他

プログラムは、以下を実行します。

  • It can be used to do the following:
    • Connect to Remote Host
    • Listen for Inbound Connections
    • Scan Ports
    • Dump Traffic (Hex)
    • Enable Zero-I/O Mode
    • Execute Programs
    • Run in Background Mode
    • Set Delay Interval
    • Persist Listening
    • Randomize Ports
    • Specify Local Port
    • Specify Local Source Address
    • Configure Source-Routing
    • Switch to UDP Mode
    • Send CRLF
    • Enable Verbose Output
    • Handle TELNET Negotiation
    • Set Timeout
    • Use Numeric IP Addresses
  • Depending on the intentions of the malicious user, the effects of this hacking tool may vary. This hacking tool is a program that utilizes the following vulnerabilities:
  • It uses the following version of NetCat:
    • v1.12

マルウェアは、以下のパラメータを受け取ります。

  • -d → detach from console, background mode.
  • -e prog → execute an inbound program.
  • -g gateway → source-routing hop point(s), up to 8.
  • -G num → source-routing pointer (4, 8, 12, ...).
  • -h → display help.
  • -i secs → delay interval for lines sent, ports scanned.
  • -l → listen mode for inbound connections.
  • -L → listen harder, re-listen on socket close.
  • -n → numeric-only IP addresses, no DNS.
  • -o file → hex dump of traffic.
  • -p port → local port number.
  • -r → randomize local and remote ports.
  • -s addr → local source address.
  • -t → answer TELNET negotiation.
  • -c → send CRLF instead of just LF.
  • -u → UDP mode.
  • -v → verbose mode (twice for more verbose).
  • -w secs → timeout for connects and final net reads.
  • -z → Zero-I/O mode (used for scanning).

<補足>

プログラムは、以下を実行します。

  • プログラムは、以下の目的に使用される可能性があります。
    • リモートホストへの接続
    • インバウンド接続の待機(リッスン)
    • ポートのスキャン
    • トラフィックのダンプ(16進数)
    • Zero-I/Oモードの有効化
    • プログラムの実行
    • バックグラウンドモードでの実行
    • 遅延時間の設定
    • 待機状態の維持
    • ポートのランダム化
    • ローカルポートの指定
    • ローカル・ソースアドレスの指定
    • ソースルーティングの設定
    • UDPモードへの切り替え
    • CRLFの送信
    • 詳細出力の有効化
    • TELNETネゴシエーションの処理
    • タイムアウトの設定
    • IPアドレス(数値)の使用
  • ユーザの意図に応じて、このプログラムがもたらす影響は異なる場合があります。このプログラムは、以下の脆弱性を利用します。
  • 以下のバージョンのNetCatを使用します。
    • v1.12

プログラムは、以下のパラメータを受け取ります。

  • -d → コンソールから切り離し、バックグラウンド・モードにする
  • -e prog → 受信したプログラムを実行する
  • -g gateway → ソースルーティング・ホップポイント(最大8個)。
  • -G num → ソースルーティング・ポインター(4、8、12、...)
  • -h → ヘルプを表示する
  • -i secs → 通信の送信、ポートのスキャンにかかる遅延時間
  • -l → インバウンド接続に対する待機モード
  • -L → より待機状態を維持するため、ソケットが閉じたときに再び待機する
  • -n →数値のみのIPアドレス、DNSは用いない。
  • -o ファイル → トラフィックの16進ダンプ
  • -p port → ローカルポート番号
  • -r → ローカルポートおよびリモートポートをランダム化する
  • -s addr → ローカル送信元アドレス
  • -t → TELNETネゴシエーションに応答する
  • -c → LFだけでなくCRLFも送信する
  • -u → UDPモード
  • -v → 詳細モード(2回指定するとより詳細になる)
  • -w secs → 接続および最終的なネット読み取りのタイムアウト
  • -z → Zero-I/Oモード(スキャンに使用)

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.633.00
SSAPI パターンリリース日: 2023年6月21日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.NETCAT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください