Backdoor.Perl.SHELLBOT.AG

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

• http://{BLOCKED}e.com/.x/b

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

• {BLOCKED}.{BLOCKED}.61.106:8080

マルウェアは、以下のいずれかのIRCチャンネルに接続します。

• #xmr1

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• portscan -> Scans the following ports: 21, 22, 23, 25, 53, 80, 110, 143 of a specific IP
• download -> Downloads a file
• fullportscan -> Scans for open ports of a specific hostname
• udp -> UDP flooding
• udpfaixa -> Infinite UDP flooding
• conback -> Connect to arbitrary socket
• oldpack -> Simultaneous ICMP, UDP, IGMP, TCP flooding on open ports with statistics report
• IRC Control:
  • join: joins a channel
  • part: leaves a channel
  • rejoin: leaves and rejoins a channel
  • op: grants a user an operator status
  • deop: revokes a user's operator status
  • voice: grants a user a voice status
  • devoice: revokes a user's voice status
  • msg: sends a message
  • flood: sends a message for a specified number of times
  • ctcpflood: sends a client to client protocol request to a specified user or channel for a specified number of times
  • ctcp: sends a client to client protocol request to a specified user or channel
  • invite: invites a user to join the channel
  • nick: changes a nickname
  • conecta: connects to a specified server with the port 6667
  • send: establishes a direct connection to a user
  • raw: toggles raw event processing
  • eval: executes the specified code
  • entra: joins a channel after a random amount of seconds
  • sai: leaves a channel after a random amount of seconds
  • sair: disconnects from a server
  • novonick: changes the nickname to Z{random number}
  • estatisticas: toggles the statistics flag
  • pacotes: toggles the packets flag