Backdoor.Linux.KINSING.A
Trojan:Linux/Shmusho!MSR (MICROSOFT)
Linux
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- /tmp/.ICEd-unix
- /var/tmp/.ICEd-unix
マルウェアは、以下のファイルを作成し実行します。
- /tmp/kdevtmpfsi
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download and execute a file
- Update downloaded files
- Execute a command
- Execute a command and send output to {Server}/o
- Create an HTTP request
- Create a TCP request
- Brute-force Redis instances
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- kdevtmpfsi
情報漏えい
マルウェアは、以下の情報を収集します。
- OS Version
- OS Name
- OS Architecture
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {Server}/r
その他
マルウェアは、以下を実行します。
- This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
- http://{BLOCKED}.{BLOCKED}.88.102
- http://{BLOCKED}.{BLOCKED}.169.111
- http://{BLOCKED}.{BLOCKED}.50.255
- http://{BLOCKED}.{BLOCKED}.87.220
- http://{BLOCKED}.{BLOCKED}.220.193
- This backdoor receives its commands via HTTP GET to the following URL:
- {Server}/get
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- ファイルのダウンロードおよび実行
- ダウンロードしたファイルのアップデート
- コマンドの実行
- コマンドの実行および {サーバ}/oへの出力の送信
- HTTPリクエストの作成
- TCPリクエストの作成
- Redisインスタンスへのブルートフォース攻撃
情報漏えい
マルウェアは、以下の情報を収集します。
- オペレーティングシステム(OS)のバージョン
- OSの名前
- OSアーキテクチャ
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {サーバ}/r
その他
マルウェアは、以下を実行します。
- マルウェアは、以下のURLへの接続をチェックして、情報を送受信するC2サーバを選択します。
- http://{BLOCKED}.{BLOCKED}.88.102
- http://{BLOCKED}.{BLOCKED}.169.111
- http://{BLOCKED}.{BLOCKED}.50.255
- http://{BLOCKED}.{BLOCKED}.87.220
- http://{BLOCKED}.{BLOCKED}.220.193
- マルウェアは、 HTTP GET を介して、以下のURLにコマンドを受信します。
- {サーバ}/get
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.KINSING.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください