解析者: Alvin Bacani   
 別名:

Kaspersky: Backoor.Linux.Tsunami.gen

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、Webアプリケーションフレームワーク「Ruby on Rails」に存在する深刻な脆弱性を対象としたエクスプロイトによる攻撃に関連しています。マルウェアは、不正リモートユーザからのコマンドを受信および実行、また、感染コンピュータを自身のボットネットの一部にすることが可能なInternet Relay Chat (IRC)サーバに接続します。感染ユーザは、自身のコンピュータのセキュリティ侵害に見舞われる可能性があります。

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、IRCサーバに接続します。

  詳細

使用ポート TCP port 6667 (IRCU)
ファイルサイズ 不定
タイプ ELF
メモリ常駐 はい
発見日 2013年5月31日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}u.ru
  • {BLOCKED}.{BLOCKED}.124.120

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • NICK {nick} - change IRC nick
  • SERVER {server} - change IRC Server
  • KILL - terminate itself
  • GET {http address} {save as} - download files on the compromised system
  • HELP - show Help Info (set of commands accepted)
  • IRC {command} - send message to IRC Server
  • SH {command} - execute command on the compromised system

その他

マルウェアが受信するコマンドは以下のとおりです。

  • NICK <nick> - IRC nick の変更
  • SERVER <サーバ> - IRCサーバの変更
  • KILL - 自身の終了
  • GET <httpアドレス> <保存先のパス> - 侵害されたコンピュータにファイルをダウンロード
  • HELP - Help情報の表示(マルウェアが取得したすべてのコマンド)
  • IRC <コマンド> - IRCサーバへメッセージを送信
  • SH <コマンド> - セキュリティの侵害を受けたコンピュータ上でコマンドを実行

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.952.01
初回 VSAPI パターンリリース日 2013年5月31日
VSAPI OPR パターンバージョン 9.953.00
VSAPI OPR パターンリリース日 2013年5月31日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_MANUST.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください