解析者: Jemimah Mae Molina   

 別名:

Perl/Shellbot.NAK trojan (NOD32); Troj/PerlShel-C (SOPHOS_LITE)

 プラットフォーム:

Windows, Unix, Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

  詳細

ファイルサイズ 35,116 bytes
タイプ PL
メモリ常駐 はい
発見日 2019年5月28日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

  • http://{BLOCKED}.{BLOCKED}.70.249/.x15cache

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}.{BLOCKED}.171.227:443

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

  • #007

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • Scan ports 21, 22, 23, 25, 53, 80, 110, 143, 6665 of a specific IP
  • Download a file
  • Scan open ports of a specific hostname
  • UDP Flooding
  • Connect to an arbitrary socket
  • Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report
  • IRC Control:
    • join → join a specified channel
    • part → leave a specified channel
    • rejoin → leave then rejoin a specified channel
    • op → grant a user an operator status
    • deop → revoke a user's operator status
    • voice → grant a user a voice status
    • devoice → revoke a user's voice status
    • msg → send a private message
    • flood → send a private message for a specified number of times
    • ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
    • ctcp → send a client-to-client protocol request to a specified user or channel
    • invite → invite a user to join a specified channel
    • nick → change nickname
    • conecta → connect to a specified server
    • send → establish a direct connection with another user
    • raw → toggles raw events processing
    • eval → execute specified command
    • entra → join a channel after random seconds
    • sai → leave a channel after random seconds
    • sair → disconnect from the server
    • novonick → change nickname to x{random number}
    • estatisticas → toggles statistics flag
    • pacotes → toggles packets flag

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.138.06
初回 VSAPI パターンリリース日 2019年5月28日
VSAPI OPR パターンバージョン 15.139.00
VSAPI OPR パターンリリース日 2019年5月29日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Perl.SHELLBOT.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください