Author: Rhena Inocencio   
 

Perl/Shellbot (McAfee), Mal/PerlBot-A (Sophos)

 PLATFORM:

Windows, Linux, Unix

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet

Para obtener una visi¨®n integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

  TECHNICAL DETAILS

File size: 23,642 bytes
File type: Script
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 03 §à§Ü§ä§ñ§Ò§â§ñ 2014
PAYLOAD: Compromises system security, Connects to URLs/IPs

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

  • http://{BLOCKED}x.com/shock/cgi

Rutina de puerta trasera

Se conecta a uno de los servidores de IRC siguientes:

  • {BLOCKED}2.{BLOCKED}3.210.216:23
  • irc.{BLOCKED}k.tk:6667
  • {BLOCKED}.{BLOCKED}.50.237:6969

Se une a los canales de IRC siguientes:

  • #apache
  • #xrt

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • system - Get OS name and version, system uptime, current process name, user ID, group ID and current directory
  • portscan - Scan an IP address for the following ports: 15, 19, 98, 20, 21, 22, 23, 25, 37, 39, 42, 43, 49, 53, 63, 69, 79, 80, 101, 106, 107, 109, 110, 111, 113, 115, 117, 119, 135, 137, 139, 143, 174, 194, 389, 389, 427, 443, 444, 445, 464, 488, 512, 513, 514, 520, 540, 546, 548, 565, 609, 631, 636, 694, 749, 750, 767, 774, 783, 808, 902, 988, 993, 994, 995, 1005, 1025, 1033, 1066, 1079, 1080, 1109, 1433, 1434, 1512, 2049, 2105, 2432, 2583, 3128, 3306, 4321, 5000, 5222, 5223, 5269, 5555, 6660, 6661, 6662, 6663, 6665, 6666, 6667, 6668, 6669, 7000, 7001, 7741, 8000, 8018, 8080, 8200, 10000, 19150, 27374, 31310, 33133, 33733, 55555
  • tcpflood - Perform TCP flooding
  • httpflood - Perform HTTP flooding
  • sqlflood - Perform SQL flooding
  • udpflood - Perform UDP flooding
  • logcleaner - Deletes all files in the following directories:
    • /var/log/lastlog
    • /var/log/wtmp
    • /etc/wtmp
    • /var/run/utmp
    • /etc/utmp
    • /var/log
    • /var/logs
    • /var/adm
    • /var/apache/log
    • /var/apache/logs
    • /usr/local/apache/log
    • /usr/local/apache/logs
    • /root/.bash_history
    • /root/.ksh_history
  • rootable - Enumerates possible root exploits in the infected system
  • socks5 - Set up SOCKSv5 protocol
  • sendmail - Send an email to a target

  SOLUTION

Minimum scan engine: 9.700
First VSAPI Pattern File: 11.188.03
First VSAPI Pattern Release Date: 03 de §à§Ü§ä§ñ§Ò§â§ñ de 2014
VSAPI OPR PATTERN-VERSION: 11.189.00
VSAPI OPR PATTERN DATE: 03 de §à§Ü§ä§ñ§Ò§â§ñ de 2014

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como PERL_SHELBOT.SMA En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.

Verwandte Blog-Eintr?ge