PERL_SHELBOT.SMA
2014年10月29日
別名:
Perl/Shellbot (McAfee), Mal/PerlBot-A (Sophos)
プラットフォーム:
Windows, Linux, Unix
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
ファイルサイズ 23,642 bytes
タイプ Script
メモリ常駐 はい
発見日 2014年10月3日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続
侵入方法
マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。
- http://{BLOCKED}x.com/shock/cgi
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}2.{BLOCKED}3.210.216:23
- irc.{BLOCKED}k.tk:6667
- {BLOCKED}.{BLOCKED}.50.237:6969
マルウェアは、以下のいずれかのIRCチャンネルに接続します。
- #apache
- #xrt
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- system - Get OS name and version, system uptime, current process name, user ID, group ID and current directory
- portscan - Scan an IP address for the following ports: 15, 19, 98, 20, 21, 22, 23, 25, 37, 39, 42, 43, 49, 53, 63, 69, 79, 80, 101, 106, 107, 109, 110, 111, 113, 115, 117, 119, 135, 137, 139, 143, 174, 194, 389, 389, 427, 443, 444, 445, 464, 488, 512, 513, 514, 520, 540, 546, 548, 565, 609, 631, 636, 694, 749, 750, 767, 774, 783, 808, 902, 988, 993, 994, 995, 1005, 1025, 1033, 1066, 1079, 1080, 1109, 1433, 1434, 1512, 2049, 2105, 2432, 2583, 3128, 3306, 4321, 5000, 5222, 5223, 5269, 5555, 6660, 6661, 6662, 6663, 6665, 6666, 6667, 6668, 6669, 7000, 7001, 7741, 8000, 8018, 8080, 8200, 10000, 19150, 27374, 31310, 33133, 33733, 55555
- tcpflood - Perform TCP flooding
- httpflood - Perform HTTP flooding
- sqlflood - Perform SQL flooding
- udpflood - Perform UDP flooding
- logcleaner - Deletes all files in the following directories:
- /var/log/lastlog
- /var/log/wtmp
- /etc/wtmp
- /var/run/utmp
- /etc/utmp
- /var/log
- /var/logs
- /var/adm
- /var/apache/log
- /var/apache/logs
- /usr/local/apache/log
- /usr/local/apache/logs
- /root/.bash_history
- /root/.ksh_history
- rootable - Enumerates possible root exploits in the infected system
- socks5 - Set up SOCKSv5 protocol
- sendmail - Send an email to a target
対応方法
対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.188.03
初回 VSAPI パターンリリース日 2014年10月3日
VSAPI OPR パターンバージョン 11.189.00
VSAPI OPR パターンリリース日 2014年10月3日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PERL_SHELBOT.SMA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください