&苍产蝉辫;解析者: Jemimah Mae Molina   
&苍产蝉辫;プラットフォーム:

Unix

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

マルウェアは9つの脆弱性を利用する機能を備えていますが、中でもComtrend社製?VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が特に注目されます。これまでの亜種と同様に、TelnetとSecure Shell(SSH)に対するブルートフォース/辞書攻撃も実行します。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 41,856 bytes
タイプ ELF
ファイル圧缩 UPX
メモリ常驻 はい
発见日 2020年7月2日
ペイロード 鲍搁尝または滨笔アドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

バックドア活动

マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • methcnc.{BLOCKED}s.org
  • methscan.{BLOCKED}s.org

その他

マルウェアは、以下を実行します。

  • It uses the following credentials to try to login to other devices:
    • taZz@23495859
    • root
    • tsgoingon
    • solokey
    • admin
    • default
    • user
    • guest
    • telnetadmin
    • 1111
    • 1234
    • 12345
    • 123456
    • 54321
    • 88888888
    • 20080826
    • 666666
    • 1001chin
    • xc3511
    • vizxv
    • 5up
    • jvbzd
    • hg2x0
    • Zte521
    • grouter
    • telnet
    • oelinux123
    • tl789
    • GM8182
    • hunt5759
    • telecomadmin
    • twe8ehome
    • h3c
    • nmgx_wapia
    • private
    • abc123
    • ROOT500
    • ahetzip8
    • anko
    • ascend
    • blender
    • cat1029
    • changeme
    • iDirect
    • nflection
    • ipcam_rt5350
    • swsbzkgn
    • juantech
    • pass
    • password
    • svgodie
    • t0talc0ntr0l4!
    • zhongxing
    • zlxx.
    • zsun1188
    • xmhdipc
    • klv123
    • hi3518
    • dreambox
    • system
    • iwkb
    • realtek
    • 00000000
    • huigu309
    • win1dows
    • antslq
  • It displays the following string once executed in the command line:
    • unstableishere
  • It may spread to other devices by taking advantage of the following vulnerabilities:

<補足>
サービス拒否(Denial of Service)攻撃

マルウェアは、様々なネットワークを通じて顿辞厂攻撃を実行します。

その他

マルウェアは、以下を実行します。

  • 以下の认証情报を用いて、他のデバイスへのログインを试みます。
    • taZz@23495859
    • root
    • tsgoingon
    • solokey
    • admin
    • default
    • user
    • guest
    • telnetadmin
    • 1111
    • 1234
    • 12345
    • 123456
    • 54321
    • 88888888
    • 20080826
    • 666666
    • 1001chin
    • xc3511
    • vizxv
    • 5up
    • jvbzd
    • hg2x0
    • Zte521
    • grouter
    • telnet
    • oelinux123
    • tl789
    • GM8182
    • hunt5759
    • telecomadmin
    • twe8ehome
    • h3c
    • nmgx_wapia
    • private
    • abc123
    • ROOT500
    • ahetzip8
    • anko
    • ascend
    • blender
    • cat1029
    • changeme
    • iDirect
    • nflection
    • ipcam_rt5350
    • swsbzkgn
    • juantech
    • pass
    • password
    • svgodie
    • t0talc0ntr0l4!
    • zhongxing
    • zlxx.
    • zsun1188
    • xmhdipc
    • klv123
    • hi3518
    • dreambox
    • system
    • iwkb
    • realtek
    • 0
    • huigu309
    • win1dows
    • antslq
  • マルウェアは、コマンドライン内で実行されると、以下の文字列を表示します
    • unstableishere
  • マルウェアは、以下の脆弱性を利用して、他のデバイスに拡散する可能性があります。

  •   対応方法

    対応検索エンジン: 9.850
    初回 VSAPI パターンバージョン 15.968.02
    初回 VSAPI パターンリリース日 2020年7月3日
    VSAPI OPR パターンバージョン 15.969.00
    VSAPI OPR パターンリリース日 2020年7月4日

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「IoT.Linux.MIRAI.VWISI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。