Backdoor.Perl.SHELLBOT.AB
Perl/Shellbot.NAK trojan (NOD32); Troj/PerlShel-C (SOPHOS_LITE)
Windows, Unix, Linux
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
トレンドマイクロは、ハッキング集団「Outlaw」のボットネットによって拡散するボット型マルウェアを確認しました。ボット型マルウェアには、このPerlベースのバックドア型マルウェア「Shellbot」の他に、仮想通貨「Monero」発掘ツールがバンドルされています。「Shellbot」は、ファイルのダウンロード、シェルコマンドの実行、DDoSなどが実行できる複数のバックドアコマンドを備えています。
マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。
詳細
侵入方法
マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。
- http://{BLOCKED}.{BLOCKED}.70.249/.x15cache
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}.{BLOCKED}.171.227:443
マルウェアは、以下のいずれかのIRCチャンネルに参加します。
- #007
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- IRC Control:
- join → join a specified channel
- part → leave a specified channel
- rejoin → leave then rejoin a specified channel
- op → grant a user an operator status
- deop → revoke a user's operator status
- voice → grant a user a voice status
- devoice → revoke a user's voice status
- msg → send a private message
- flood → send a private message for a specified number of times
- ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
- ctcp → send a client-to-client protocol request to a specified user or channel
- invite → invite a user to join a specified channel
- nick → change nickname
- conecta → connect to a specified server
- send → establish a direct connection with another user
- raw → toggles raw events processing
- eval → execute specified command
- entra → join a channel after random seconds
- sai → leave a channel after random seconds
- sair → disconnect from the server
- novonick → change nickname to x{random number}
- estatisticas → toggles statistics flag
- pacotes → toggles packets flag
- Scan ports 21, 22, 23, 25, 53, 80, 110, 143, 6665 of a specific IP
- Download a file
- Scan open ports of a specific hostname
- UDP Flooding
- Connect to an arbitrary socket
- Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report
<補足>
バックドア活動
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- IRC制御:
- join → 特定のチャンネルに参加
- part → 特定のチャンネルを抜ける
- rejoin → 特定のチャンネルを抜け再度参加
- op → ユーザにオペレータのステータスを許可
- deop → ユーザのオペレータスのステータスを無効化
- voice → ユーザにボイスのステータスを許可
- devoice → ユーザのボイスのステータスを無効化
- msg → プライベートメッセージを送信
- flood → 特定回数のプライベートメッセージを送信
- ctcpflood → 特定のユーザまたはチャンネルに特定回数クライアント間プロトコル要求を送信
- ctcp → 特定のユーザまたはチャンネルにクライアント間プロトコル要求を送信
- invite → 特定のチャンネルにユーザを招待
- nick → ニックネームの変更
- conecta → 特定のサーバへの接続
- send → 他のユーザとのダイレクト接続を確立
- raw → 未加工イベント処理の切り替え
- eval → 特定のコマンドの実行
- entra → ランダムな秒数後にチャンネルに参加
- sai → ランダムな秒数後にチャンネルを抜ける
- sair → サーバから切断
- novonick → ニックネームを「x{ランダムな数字}」へ変更
- estatisticas → 統計フラグの切り替え
- pacotes → パケットフラグの切り替え
- 特定のIPのポート21, 22, 23, 25, 53, 80, 110, 143, 6665をスキャン
- ファイルをダウンロード
- 特定のホスト名のオープンポートをスキャン
- UDPフラッド攻撃
- 任意のソケットへの接続
- 統計レポートを用いたオープンポート上でのIGMP、ICMP、UDP、およびTCPの同時フラッド攻撃
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Perl.SHELLBOT.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください