トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、インターネット・リレー・チャット(Internet Relay Chat、IRC)を利用するPerlベースのバックドア型マルウェア「Shellbot」です。マルウェアは、仮想通貨「Monero」発掘ツールとともに最終的なペイロードとしてインストールされます。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}.{BLOCKED}.52.55/uploads/sshd2
- http://{BLOCKED}.{BLOCKED}.202.28/.wp/sshd2
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
マルウェアは、以下のいずれかのIRCチャンネルに接続します。
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- IRC Control:
- join → Join a channel
- part → Leave a channel
- rejoin → Leave and rejoin a channel
- op → Grant a user an operator status
- deop → revoke a user's operator status
- voice → grant user a voice status
- devoice → revoke a user's voice status
- msg → send a private message
- flood → send a private message for a specified number of times
- ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
- ctcp → send a client-to-client protocol to a specified user or channel
- invite → invite a user to join a specified channel
- nick → change nickname
- send → establish a direct connection with another user
- raw → toggles raw events processing
- eval → execute a specified command
- quit → Disconnect from the IRC server
- rand → change nickname to ssh.{random number}
- jump → connect to a specified server
- bang → toggles packets flag
- stat → toggles statistics flag
- rp → leave a channel after random seconds
- rj → join a channel after random seconds
- UDP Flooding
- Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report
- Connect to an arbitrary socket
- Download a file
- Scans for the following ports 21, 22, 23, 25, 53, 80, 110, 113, 143, 3306, 4000, 5900, 6667, 6668, 6669, 7000, 10000, 12345, 31337, 65501 of a specific IP
<補足>
バックドア活動
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- IRC制御:
- join →チャンネルに参加
- part →チャンネルを抜ける
- rejoin → チャンネルを抜け再度参加
- op → ユーザにオペレータのステータスを許可
- deop → ユーザのオペレータスのステータスを無効化
- voice → ユーザにボイスのステータスを許可
- devoice → ユーザのボイスのステータスを無効化
- msg → プライベートメッセージを送信
- flood → 特定回数のプライベートメッセージを送信
- ctcpflood → 特定のユーザまたはチャンネルに特定回数クライアント間プロトコル要求を送信
- ctcp → 特定のユーザまたはチャンネルにクライアント間プロトコル要求を送信
- invite → 特定のチャンネルにユーザを招待
- nick → ニックネームの変更
- send → 他のユーザとのダイレクト接続を確立
- raw → 未加工イベント処理の切り替え
- eval → 特定のコマンドの実行
- quit → IRCサーバから切断
- rand → ニックネームをssh.{ランダムな数字}へ変更
- jump → 特定のサーバに接続
- bang → パケットフラグの切り替え
- stat → 統計フラグの切り替え
- rp → ランダムな秒数後、チャンネルを抜ける
- rj → ランダムな秒数後、チャンネルに参加
- UDPフラッド攻撃
- 統計レポートを用いたオープンポート上でのIGMP、ICMP、UDP、およびTCPの同時フラッド攻撃
- 任意のソケットへの接続
- ファイルをダウンロード
- 特定のIPのポート21, 22, 23, 25, 53, 80, 110, 113, 143, 3306, 4000, 5900, 6667, 6668, 6669, 7000, 10000, 12345, 31337, 65501をスキャン