解析者: Clive Fuentebella   

 別名:

Trojan:Linux/Shmusho!MSR (MICROSOFT)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

  詳細

ファイルサイズ 16,687,104 bytes
メモリ常駐 はい
発見日 2020年3月27日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • /tmp/.ICEd-unix
  • /var/tmp/.ICEd-unix

マルウェアは、以下のファイルを作成し実行します。

  • /tmp/kdevtmpfsi

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Download and execute a file
  • Update downloaded files
  • Execute a command
  • Execute a command and send output to {Server}/o
  • Create an HTTP request
  • Create a TCP request
  • Brute-force Redis instances

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • kdevtmpfsi

情報漏えい

マルウェアは、以下の情報を収集します。

  • OS Version
  • OS Name
  • OS Architecture

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • {Server}/r

その他

マルウェアは、以下を実行します。

  • This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
    • http://{BLOCKED}.{BLOCKED}.88.102
    • http://{BLOCKED}.{BLOCKED}.169.111
    • http://{BLOCKED}.{BLOCKED}.50.255
    • http://{BLOCKED}.{BLOCKED}.87.220
    • http://{BLOCKED}.{BLOCKED}.220.193
  • This backdoor receives its commands via HTTP GET to the following URL:
    • {Server}/get

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • ファイルのダウンロードおよび実行
  • ダウンロードしたファイルのアップデート
  • コマンドの実行
  • コマンドの実行および {サーバ}/oへの出力の送信
  • HTTPリクエストの作成
  • TCPリクエストの作成
  • Redisインスタンスへのブルートフォース攻撃

情報漏えい

マルウェアは、以下の情報を収集します。

  • オペレーティングシステム(OS)のバージョン
  • OSの名前
  • OSアーキテクチャ

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • {サーバ}/r

その他

マルウェアは、以下を実行します。

  • マルウェアは、以下のURLへの接続をチェックして、情報を送受信するC2サーバを選択します。
    • http://{BLOCKED}.{BLOCKED}.88.102
    • http://{BLOCKED}.{BLOCKED}.169.111
    • http://{BLOCKED}.{BLOCKED}.50.255
    • http://{BLOCKED}.{BLOCKED}.87.220
    • http://{BLOCKED}.{BLOCKED}.220.193
  • マルウェアは、 HTTP GET を介して、以下のURLにコマンドを受信します。
    • {サーバ}/get

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.834.01
初回 VSAPI パターンリリース日 2020年4月27日
VSAPI OPR パターンバージョン 15.835.00
VSAPI OPR パターンリリース日 2020年4月28日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.KINSING.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください