&苍产蝉辫;解析者: Christopher Daniel So   
&苍产蝉辫;プラットフォーム:

Linux

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

マルウェアは、尝颈苍耻虫のオペレーティングシステム(翱厂)上で実行され、复数の人気インターネットアプリケーションによって保存されているパスワードを収集するように设计されています。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 64,400 bytes
タイプ ELF
メモリ常驻 はい
発见日 2012年8月24日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • {user's home path}/WIFIADAPT

自动実行方法

マルウェアは、以下のファイルを作成します。

  • {user's home path}/.config/autostart/WIFIADAPTER.desktop

バックドア活动

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Get OS version, user name, host name, $PATH variable, home directory, malware process ID, current process path
  • Download a file and save it as /tmp/{random file name 1}, then execute the downloaded file
  • Exit
  • List files in a directory
  • Read a file
  • Write and close a file
  • Copy a file
  • Execute a file
  • Rename a file
  • Delete a file
  • Create a directory
  • Start remote shell
  • Kill a process
  • Get currently logged in users
  • Enumerate window titles of all processes
  • Download a file and save it as /tmp/{random file name 2}
  • Simulate keyboard press
  • Simulate mouse event
  • Get stored login credentials in Google Chrome, Chromium, Opera, Mozilla
  • Get the size of a file
  • Take a screenshot
  • Upload keylogger file {user's home path}/.m8d.dat
  • Clear keylogger file {user's home path}/.m8d.dat
  • Delete a file
  • Search for a file
  • Stop remote shell
  • List processes
  • Perform window operation
  • Get Pidgin passwords from {user's home path}/.purple/accounts.xml
  • Uninstall

マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.208.65:4141

作成活动

マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情报を収集するために利用されます。

  • {user's home path}/.m8d.dat

その他

マルウェアが実行するコマンドは、以下のとおりです。

  • 翱厂のバージョン、ユーザ名、ホスト名、笔础罢贬环境変数、ホームディレクトリ、マルウェアのプロセス识别子、カレントプロセスのパスといった情报の取得
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 1>" として保存、実行する
  • 自身の终了
  • ディレクトリ内のファイルのリスト化
  • ファイルの読み込み
  • ファイルを书き込み、闭じる
  • ファイルのコピー
  • ファイルの実行
  • ファイル名の改称
  • ファイルの削除
  • ディレクトリの作成
  • リモートシェルの开始
  • プロセスの终了
  • ログイン中のユーザに関する情报の取得
  • すべてのプロセスのウィンドウタイトルを列挙する
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 2>" として保存する
  • キーボードを押す力をシュミレートする
  • マウスイベントをシュミレートする
  • Thunderbird、SeaMonkeyおよびMozilla Firefoxに保存されているログイン情報の取得
  • ファイルサイズの取得
  • スクリーンショットの取得
  • キー入力操作情報のファイル "{user's home path}/.m8d.dat" のアップロード
  • キー入力操作情報のファイル "{user's home path}/.m8d.dat" の削除
  • ファイルの削除
  • ファイルの検索
  • リモートシェルの停止
  • プロセスの列挙
  • ウィンドウ操作の実行
  • "{user's home path}/.purple/accounts.xml" からインスタントメッセンジャ(IM)「Pidgin」のパスワードの取得
  • アンインストール

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 9.369.00
VSAPI OPR パターンリリース日 2012年9月4日

このマルウェアのパス名およびファイル名を确认します。
最新のバージョン(エンジン、パターンファイル)を导入したウイルス対策製品を用いてウイルス検索を実行してください。「贰尝贵冲狈贰罢奥搁顿.础」で検出したパス名およびファイル名を确认し、メモ等をとってください。

手順 2

マルウェアのプロセスを终了します。

  1. このマルウェアのプロセスを终了するためには、「ターミナル」ウインドウを开き、以下のコマンドを入力してすべての実行中プロセスをリスト化してください。

    ps –A

  2. 手順 1で確認したこのマルウェアのパス名およびファイル名をこのプロセス内で確認します。そしてマルウェアのプロセス識別子を確認し、メモ等をとってください。
  3. 以下のコマンドを入力してください。

    kill <マルウェアのプロセス識別子>

  4. 「ターミナル」ウインドウを闭じてください。

手順 3

以下のファイルを検索し削除します。

  • {user's home path}/.config/autostart/WIFIADAPTER.desktop
  • {user's home path}/.m8d.dat

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_NETWRD.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。