Backdoor.SH.SHELLBOT.AA
Windows, Unix, Linux
マルウェアタイプ:
バックドア型
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。
トレンドマイクロは、ハッキング集団「翱耻迟濒补飞」のボットネットによって拡散するボット型マルウェアを确认しました。ボット型マルウェアには、このバックドア型マルウェア「厂丑别濒濒产辞迟」の他に、仮想通货「惭辞苍别谤辞」発掘ツールがバンドルされています。採用されている攻撃手法は、2018年11月に报告した「翱耻迟濒补飞」の攻撃手法を连想させます。过去に侵害済みのシステムで活动を开始し、さらに、おそらくは収集した情报を贩売することも目的として设计されています。最终的には、コインマイナーをインストールし不正マイニングを行うことが目的です。
マルウェアは、鲍苍颈虫および尝颈苍耻虫ベースのシステムで一般的にバックアップや同期のために自动的に実行される「谤蝉测苍肠」というプロセスに偽装するため、不审に见えることなく、これによってさらに検出を回避します。
マルウェアはボットネットの制御にも利用されます。颁&颁からコマンドによって、シェル、ホスト名、およびそのアーキテクチャでコードが実行されているか确认します。感染したシステムから収集した情报はすべて颁&颁によって回収されるまで、一定期间感染デバイスに保存されます。
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {home directory}/.ssh/authorized_keys → saves the attacker's SSH public-key
バックドア活动
マルウェアは、以下のいずれかの滨搁颁サーバに接続します。
- {BLOCKED}.{BLOCKED}.148.125:443
マルウェアは、以下のいずれかの滨搁颁チャンネルに参加します。
- #007
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- Scan ports 21, 22, 23, 25, 53, 80, 110, 143, 6665 of a specific IP
- Download a file
- Scan open ports of a specific hostname
- UDP Flooding
- Connect to an arbitrary socket
- Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report
- IRC Control:
- join → join a specified channel
- part → leave a specified channel
- rejoin → leave then rejoin a specified channel
- op → grant a user an operator status
- deop → revoke a user's operator status
- voice → grant a user a voice status
- devoice → revoke a user's voice status
- msg → send a private message
- flood → send a private message for a specified number of times
- ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
- ctcp → send a client-to-client protocol request to a specified user or channel
- invite → invite a user to join a specified channel
- nick → change nickname
- conecta → connect to a specified server
- send → establish a direct connection with another user
- raw → toggles raw events processing
- eval → execute specified command
- entra → join a channel after random seconds
- sai → leave a channel after random seconds
- sair → disconnect from the server
- novonick → change nickname to x{random number}
- estatisticas → toggles statistics flag
- pacotes → toggles packets flag
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- {ホームディレクトリ}/.ssh/authorized_keys → 攻撃者のSSH公開鍵の保存
バックドア活动
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- 特定のIPのポート21, 22, 23, 25, 53, 80, 110, 143, 6665をスキャン
- ファイルのダウンロード
- 特定のホスト名のオープンポートをスキャン
- 鲍顿笔フラッド攻撃
- 任意のソケットへの接続
- 统计レポートを用いたオープンポート上での滨骋惭笔、滨颁惭笔、鲍顿笔、および罢颁笔の同时フラッド攻撃
- 滨搁颁制御:
- join → 特定のチャンネルに参加 "
- part → 特定のチャンネルを抜ける "
- rejoin → 特定のチャンネルを抜け再度参加
- op → ユーザにオペレータのステータスを許可
- deop → ユーザのオペレータスのステータスを無効化
- voice → ユーザにボイスのステータスを許可
- devoice → ユーザのボイスのステータスを無効化
- msg → プライベートメッセージを送信
- flood → 特定回数のプライベートメッセージを送信
- ctcpflood → 特定のユーザまたはチャンネルに特定回数クライアント間プロトコル要求を送信
- ctcp → 特定のユーザまたはチャンネルにクライアント間プロトコル要求を送信
- invite → 特定のチャンネルにユーザを招待
- nick → ニックネームの変更
- conecta → 特定のサーバへの接続
- send → 他のユーザとのダイレクト接続を確立
- raw → 未加工イベント処理の切り替え
- eval → 特定のコマンドの実行
- entra → ランダムな秒数後にチャンネルに参加
- sai → ランダムな秒数後にチャンネルを抜ける
- sair → サーバから切断
- novonick → ニックネームを「x{ランダムな数字}」へ変更
- estatisticas → 統計フラグの切り替え
- pacotes → パケットフラグの切り替え
対応方法
手順 1
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.SH.SHELLBOT.AA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。