Trojan.SH.MIXBASH.A
2019年6月20日
別名:
Trojan-Downloader.Linux.Sh (Ikarus); Linux/TrojanDownloader.SH.GA (NOD32)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
ファイルサイズ 35,177 bytes
タイプ Other
メモリ常駐 はい
発見日 2019年6月19日
ペイロード URLまたはIPアドレスに接続, 情報収集
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、以下の方法でコンピュータに侵入します。
- Exploitation of the vulnerability:
インストール
マルウェアは、以下のファイルを作成します。
- cron tasks:
- /etc/crontab
- /etc/crontabs/root
- /var/spool/cron/crontabs/root
- /var/spool/cron/root
- /etc/cron.d/root
- /etc/cron.d/.cronbus
- /root/.ssh/authorized_keys OR /home/{user}/.ssh/authorized_keys - used for logging in as user@localhost
- /root/.cache/.a - file marker for uninstall routines
他のシステム変更
マルウェアは、以下のファイルを改変します。
- /etc/rc.local - adds "sh /usr/local/bin/npt" to run downloaded file on boot
- /var/spool/mail/{user} - contents replaced with "0" string
- /var/log/wtmp - contents replaced with "0" string
- /var/log/secure - contents replaced with "0" string
- /var/log/cron - contents replaced with "0" string
マルウェアは、以下のファイルを削除します。
- /etc/ld.so.preload*
- /etc/systemd/system/cloud*
- files in /var/tmp
- files in /var/spool/cron/crontabs
- files in /var/spool/cron
- files in /etc/cron.d
- files in /etc/crontabs
プロセスの終了
マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- Cloud-related Services:
- barad_agent*
- anat*
- aliyun-service
- yunjing
- Other Processes (some are related to malware/coinmining):
- .kthreadd
- .over
- .sr0
- .sshd
- /60009
- /tmp/
- /tmp/init
- 44444
- 56416
- clay
- clean.sh
- config.json
- cpuminer
- cranberry
- crawler.weibo
- cryptonight
- ddgs
- ebscan
- geqn
- gpg-daemon
- gwjyhs.com
- hashrate
- hashvault
- httpdz
- jobs.flu.cc
- kerbero
- kerberods
- khugepageds
- killTop.sh
- krun.sh
- kworker
- kworkerds
- Linux
- linuxl
- linuxs
- minerd
- mrx1
- nicehash
- nmap
- pastebin.com
- redis-cli
- redisscan
- slave
- sobot.com
- ssh_deny.sh
- start.sh
- stratum
- udevs
- watch.sh
- xig
- xmr
- Exceptions:
- If Process ID is less than 301
- Process belongs to the malware itself
- If Process ID = Parent PID
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- https://{BLOCKED}2wp4xo7hpr{URL String}/images/{a|r}{32|64}x75 - uncompressed coinminer executable
- https://{BLOCKED}2wp4xo7hpr{URL String}/images/ico/{a|r}{32|64}x75.ico - compressed coinminer executable
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/main - updated copy of itself, base64 encoded
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/wd
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/ldm - executed every 30 minutes
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/sc - python script for scanning networks
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- /root/.cache/.editorinfo OR /home/{user}/.cache/.editorinfo
- /usr/local/bin/nptd
- /etc/cron.hourly/cronlog
- /etc/cron.daily/cronlog
- /etc/cron.monthly/cronlog
- /root/.cache/favicon.ico OR /home/{user}/.cache/favicon.ico - coinminer
- /root/.cache/.kswapd OR /home/{user}/.cache/.kswapd - coinminer
- /root/.cache/[kthrotlds] OR /home/{user}/[kthrotlds] - coinminer
- /usr/bin/[kthrotlds] - coinminer
- /root/.cache/.ntp OR /home/{user}/.cache/.ntp
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- https://{BLOCKED}2wp4xo7hpr{URL String}/src/ud - update flag
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.182.06
初回 VSAPI パターンリリース日 2019年6月18日
VSAPI OPR パターンバージョン 15.183.00
VSAPI OPR パターンリリース日 2019年6月19日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.MIXBASH.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください