Backdoor.Linux.NEKO.AC

2019年7月30日

解析者: Patrick Angelo Roderno

別名:

HEUR:Trojan.Linux.Agent.fy (KASPERSKY); Win32/Trojan.d88 (QIHOO-360); Backdoor.Mirai!8.E05B (TFE:15:0G9VZX56qtK) (RISING)

プラットフォーム:

Linux

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。

詳細

ファイルサイズ 21,204 bytes

タイプ ELF

ファイル圧縮 UPX

メモリ常駐なし

発見日 2019年7月29日

ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

Change CnC
Execute shell command
Kill specified processes
Launch UDP flood
Run scanner function and propagate via exploit

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

{BLOCKED}.{BLOCKED}.39.198

プロセスの終了

マルウェアは、以下の不正プログラムに関連するプロセスを終了します。

902i13
BzSxLxBxeY
HOHO-LUGO7
HOHO-U79OL
JuYfouyf87
NiGGeR69xd
SO190Ij1X
LOLKIKEEEDDE
Ex0420
ekjheory98e
rzr
EXTENDO
scansh4
MDMA
fdevalvex
scanspc
MELTEDNINJAREALZ
flexsonskids
scanx86
MISAKI-U79OL
foAxi102kxe
swodjwodjwoj
MmKiy7f87l
freecookiex86
sysgpu
frgege
sysupdater
0DnAzepd
NiGGeRD0nks69
frgreu
0x766f6964
NiGGeRd0nks1337
gaft
urasgbsigboa
120i3UI49
OaF3
geae
vaiolmao
123123a
Ofurain0n4H34D
ggTrex
ew
wasads
1293194hjXD
OthLaLosn
ggt
wget-log
cupsddh
1337SoraLOADER
SAIAKINA
atddd
sksapdd
ggtq
1378bfp919GRB1Q2
SAIAKUSO
skysapdd
ggtr
14Fa
SEXSLAVE1337
ggtt
1902a3u912u3u4
haetrghbr
19ju3d
SORAojkf120
hehahejeje92
2U2JDJA901F91
SlaVLav12
helpmedaddthhhhh
2wgg9qphbq
Slav3Th3seD3vices
hzSmYZjYMQ
5Gbf
sora
SoRAxD123LOL
iaGv
5aA3
SoRAxD420LOL
insomni
640277
SoraBeReppin1337
ipcamCache
66tlGg9Q
6ke3
TOKYO3
lyEeaXul2dULCVxh
93OfjHZ2z
TY2gD6MZvKc7KU6r
mMkiy6f87l
A023UU4U24UIU
TheWeeknd
mioribitches
A5p9
TheWeeknds
mnblkjpoi
AbAd
Tokyos
neb
Akiru
U8inTz
netstats
Alex
W9RCAKM20T
newnetword
Ayo215
g1abc4dmo35hnp2lie0kjf
Word
nloads
BAdAsV
Wordmane
notyakuzaa
Belch
Wordnets
obp
BigN0gg0r420
X0102I34f
ofhasfhiafhoi
X19I239124UIU
oism
8Deported
XSHJEHHEIIHWO
olsVNwo12
DeportedDeported
XkTer0GbA1
onry0v03
FortniteDownLOLZ
Y0urM0mGay
pussyfartlmaojk
GrAcEnIgGeRaNn
YvdGkqndCO
qGeoRBe6BE
GuiltyCrown
ZEuS69
s4beBsEQhd
HOHO-KSNDO
ZEuz69
sat1234
aj93hJ23
scanHA
alie293z0k2L
scanJoshoARM
HellInSide
ayyyGangShit
scanJoshoARM5
HighFry
b1gl
scanJoshoARM6
IWhPyucDbJ
boatnetz
scanJoshoARM7
IuYgujeIqn
btbatrtah
scanJoshoM68K
JJDUHEWBBBIB
scanJoshoMIPS
JSDGIEVIVAVIG
cKbVkzGOPa
scanJoshoMPSL
ccAD
scanJoshoPPC
KAZEN-OIU97
chickenxings
scanJoshoSH4
yakuskzm8
KAZEN-PO78H
cleaner
scanJoshoSPC
KAZEN-U79OL
dbeef
scanJoshoX86
yakuz4c24
KETASHI32
ddrwelper
scanarm5
zPnr6HpQj2
Kaishi-Iz90Y
deexec
scanarm6
zdrtfxcgy
Katrina32
doCP3fVj
scanarm7
zxcfhuio
Ksif91je39
scanm68k
Kuasa
dvrhelper
scanmips
KuasaBinsMate
eqnOhRk8s
scanmpsl
LOLHHHOHOHBUI
eXK20CL12Z
nya
mezy
QBotBladeSPOOKY
hikariwashere
p4029x91xx
32uhj4gbejh
zhr
lzrd
PownedSecurity69
.ares
fxlyazsxhy
jnsd9sdoila
yourmomgaeis
sdfjiougsioj
Oasis
SEGRJIJHFVNHSNHEIHFOS
apep999
KOWAI-BAdAsV
KOWAI-SAD
jHKipU7Yl
airdropmalware
your_verry_fucking_gay
Big-Bro-Bright
sefaexec
shirololi
eagle.
For-Gai-Mezy
0x6axNL
cloqkisvspooky
myth
SwergjmioG
KILLEJW(IU(JIWERGFJGJWJRG
Hetrh
APEP
wewrthe
IuFdKssCxz
jSDFJIjio
OnrYoXd666
ewrtkjoketh
ajbdf89wu823
AAaasrdgs
REKAI
WsGA4@F6F
GhostWuzHere666
BOGOMIPS
sfc6aJfIuY
Demon.
xeno-is-god
ICY-P-0ODIJ
gSHUIHIfh
wrgL
hu87VhvQPz
dakuexecbin
TacoBellGodYo
loligang
PRIVMSG
Execution
orbitclient
Amnesia
Owari
UnHAnaAW
DUP
Eats8
z3hir
obbo
miori
eagle
MASUTA
doxxRollie
WHOIS
KILLATTK
daddyl33t
lessie.
1gba4cdom53nhp12ei0kfj
9u123448u124au814d4x10
hax.
yakuza
wordminer
v[0v
minerword
SinixV4
hoho
g0dbu7tu
orphic
furasshu
horizon
assailant
Ares
Kawaiihelper
ECHOBOT
DEMONS
kalon
Josho
daddyscum
akira.ak
Hilix
daku
Tsunami
estella
Solar
rift
_-255.Net
Cayosin
Okami
Kosha
bushido
trojan
shiina
Reaper.
Corona.
wrgnuwrijo
Aka
Hari
orage
fibre
galil
stresserpw
stresser.pw
Tohru
Omni
kawaii
Frosti
sxj472sz
HU6FIZTQU
PFF1500RG
plzjustfuckoff
nvitpj
elfLoad
Amakano
tokupdater
/dev/netslink/
/dev/FTWDT101_watchdog
cum-n-go
oblivion
Voltage
Votan
.anime
scanppc

その他

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.264.07

初回 VSAPI パターンリリース日 2019年7月29日

VSAPI OPR パターンバージョン 15.265.00

VSAPI OPR パターンリリース日 2019年7月30日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.NEKO.AC」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください