Backdoor.Linux.MIRAI.VWIPT
ELF/Mirai.A!tr (Fortinet), HEUR:Backdoor.Linux.Gafgyt.cn (Kaspersky)
Linux
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
これは、IoTマルウェア「Mirai」の新しい亜種の検出名です。他の典型的なMiraiの亜種と同様に、バックドアと分散型サービス拒否(Distributed Denial of Service、DDoS)の機能を備えています。利用される脆弱性のほとんどは以前のMiraiでも利用されていますが、一度の活動で合計13件の脆弱性すべてを利用する初めての亜種の事例として注目に値します。これらの脆弱性を突く攻撃は、ルータ、監視製品、その他の機器に見られる欠陥を利用します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、実行後、自身を削除します。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download a file
- Performs various DDOS attacks
- Execute shell commands
- Uses default or easy-to-guess usernames and passwords to login to other devices
- Kill its process
- Kill all performed various attacks.
- Kill specific process
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.102.123:1337
その他
マルウェアは、以下を実行します。
- マルウェアは、以下の認証情報を利用して他のデバイスへのログインを試みます。
- telecomadmin
- admintelecom
- klv1234
- cisco
- jvbzd
- hi3518
- hunt5759
- 3ep5w2u
- 1q2w3e4r5
- e8telnet
- e8ehome
- zsun1188
- xc3511
- /ADMIN/
- juantech
- xmhdpic
- IPCam@sw
- QwestM0dem
- ipcam_rt5350
- qwerty
- 20080826
- service
- system
- smcadmin
- svgodie
- 888888
- xmhdipc
- default
- juantech
- support
- 12345
- 666666
- password
- klv123
- service
- supervisor
- guest
- ubnt
- klv1234
- Zte521
- hi3518
- jvbzd
- anko
- zlxx.
- 7ujMko0vizxv
- 7ujMko0admin
- system
- ikwb
- dreambox
- user
- realtek
- admin
- telecomadmin
- admintelecom
- klv1234
- cisco
- jvbzd
- hi3518
- hunt5759
- 3ep5w2u
- 1q2w3e4r5
- e8telnet
- e8ehome
- zsun1188
- xc3511
- /ADMIN/
- juantech
- xmhdpic
- IPCam@sw
- QwestM0dem
- ipcam_rt5350
- qwerty
- 20080826
- service
- system
- smcadmin
- svgodie
- 888888
- xmhdipc
- default
- juantech
- support
- 12345
- 666666
- password
- klv123
- service
- supervisor
- guest
- ubnt
- klv1234
- Zte521
- hi3518
- jvbzd
- anko
- zlxx.
- 7ujMko0vizxv
- 7ujMko0admin
- system
- ikwb
- dreambox
- user
- realtek
- admin
- マルウェアは、以下のポートを利用するプロセスを終了します。
- 5555
- 8080
- 80
- 7574
- マルウェアは、以下の脆弱性を利用して他のデバイスに拡散する可能性があります。
- Vacron NVR CVE
- CVE-2018-10561
- CVE-2015-2051
- CCTV-DVR RCE
- CVE-2014-8361
- UPnP SOAP TelnetD Command Execution
- Linksys RCE
- Eir D1000 Wireless Router
- WAN Side Remote Command Injection
- ThinkPHP 5.0.23/5.1.31 - 遠隔からのコード実行(Remote Code Execution)
- Netgear setup.cgi RCE
- MVPower DVR Shell Command Execution
- CVE-2018-10562 & CVE-2018-10561
- CVE-2017-17215
- CVE-2016-6277
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- ファイルのダウンロード
- さまざまなDDoS攻撃の実行
- シェルコマンドの実行
- 初期設定の、または推測しやすいユーザ名とパスワードを使用して他のデバイスへのログイン
- プロセスの終了
- すべての実行した攻撃の終了
- 特定のプロセスの終了
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.MIRAI.VWIPT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください