Alias

Mal/PerlBot-A (Sophos), Backdoor.Perl.Shellbot.F (F-Secure), Perl:Shellbot-O [Trj] (Avast)

 Plataforma:

UNIX, Linux

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Eliminado por otro tipo de malware, Descargado de Internet

Para obtener una visi¨®n integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

  Detalles t¨¦cnicos

Tama?o del archivo ³Õ²¹°ù¨ª²¹
Tipo de archivo Script
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 26 de septiembre de 2014
Carga ¨²til Compromises system security, Connects to URLs/IPs

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

  • http://208.{BLOCKED}.238/.x/hb/php09
  • http://2{BLOCKED}.223/jurat
  • http://2{BLOCKED}.223/ji
  • http://7{BLOCKED}.69/ec.z

Rutina de puerta trasera

Se conecta a uno de los servidores de IRC siguientes:

  • {BLOCKED}d.{BLOCKED}yz.info
  • {BLOCKED}s.{BLOCKED}ftp.org:443
  • {BLOCKED}7.{BLOCKED}0.45.138:1835
  • {BLOCKED}.{BLOCKED}.100.90:6667
  • gov.{BLOCKED}t.org
  • blacklotus.ca.us.{BLOCKED}et.org
  • zmeu.{BLOCKED}o.it
  • local.{BLOCKED}c.so
  • irc.{BLOCKED}s.hk
  • {BLOCKED}.{BLOCKED}-newbie.org:6667
  • {BLOCKED}1.{BLOCKED}p.org:443
  • {BLOCKED}6.{BLOCKED}7.97.158:7000
  • {BLOCKED}tasy.{BLOCKED}nd.rocks:7777
  • {BLOCKED}csl.{BLOCKED}ip.org:443
  • irc.{BLOCKED}oe.net:6667
  • 89.{BLOCKED}.139:6660
  • {BLOCKED}fia.{BLOCKED}t.nu:4444
  • {BLOCKED}9.{BLOCKED}9.68.5:6667
  • {BLOCKED}9.{BLOCKED}4.220.147:8443
  • {BLOCKED}s.{BLOCKED}ot.nu:5190
  • {BLOCKED}rl1.{BLOCKED}ack.org:443,23,6660,6667 or 6669
  • {BLOCKED}cd.w3h.co.uk:443
  • {BLOCKED}d3n.pikolata.net:6121
  • {BLOCKED}i.{BLOCKED}ot.nu:5190
  • {BLOCKED}aos.{BLOCKED}gend.rocks:7777
  • {BLOCKED}ics.no-ip.org:443
  • 9{BLOCKED}.10:6667
  • 6{BLOCKED}.237:6969
  • 5{BLOCKED}.238.185:80
  • 4{BLOCKED}.158:443
  • 4{BLOCKED}.mn:8080
  • 3{BLOCKED}.147:443
  • 3{BLOCKED}.6:80
  • 2{BLOCKED}.38:1337
  • 19{BLOCKED}.17:6667
  • 19{BLOCKED}.202.24
  • 18{BLOCKED}.247:6667
  • 18{BLOCKED}.209.84:443
  • 17{BLOCKED}.233:6667
  • {BLOCKED}4.{BLOCKED}5.56.228:443
  • irc.{BLOCKED}s-newbie.org:6667

Se une a los canales de IRC siguientes:

  • #XDOS
  • #root
  • #bbox
  • #esmtp
  • #play
  • #xtr
  • #xrt
  • #tamerlinux
  • #rnd
  • #php
  • #perls
  • #perl
  • #nrpe
  • #new
  • #main
  • #gnu
  • #bot
  • #bash
  • #b
  • #apache
  • #113
  • #0day-new
  • ##n3
  • ##jboss
  • #JohnnyH
  • #homenet.org
  • #mihai
  • #noi
  • #local.irc.so
  • #welcome
  • #tes
  • #Tangodown
  • #pma
  • #dos :ddos

  Soluciones

Motor de exploraci¨®n m¨ªnimo 9.700
Versi¨®n de patrones OPR de VSAPI 11.175.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 26 de septiembre de 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como PERL_SHELLBOT.SM En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!

Relacionado entradas de blog