ELF_MANUST.A
Kaspersky: Backoor.Linux.Tsunami.gen
Linux
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、Webアプリケーションフレームワーク「Ruby on Rails」に存在する深刻な脆弱性を対象としたエクスプロイトによる攻撃に関連しています。マルウェアは、不正リモートユーザからのコマンドを受信および実行、また、感染コンピュータを自身のボットネットの一部にすることが可能なInternet Relay Chat (IRC)サーバに接続します。感染ユーザは、自身のコンピュータのセキュリティ侵害に見舞われる可能性があります。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
マルウェアは、IRCサーバに接続します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}u.ru
- {BLOCKED}.{BLOCKED}.124.120
マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- NICK {nick} - change IRC nick
- SERVER {server} - change IRC Server
- KILL - terminate itself
- GET {http address} {save as} - download files on the compromised system
- HELP - show Help Info (set of commands accepted)
- IRC {command} - send message to IRC Server
- SH {command} - execute command on the compromised system
その他
マルウェアが受信するコマンドは以下のとおりです。
- NICK <nick> - IRC nick の変更
- SERVER <サーバ> - IRCサーバの変更
- KILL - 自身の終了
- GET <httpアドレス> <保存先のパス> - 侵害されたコンピュータにファイルをダウンロード
- HELP - Help情報の表示(マルウェアが取得したすべてのコマンド)
- IRC <コマンド> - IRCサーバへメッセージを送信
- SH <コマンド> - セキュリティの侵害を受けたコンピュータ上でコマンドを実行
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_MANUST.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください