解析者: Noel Anthony Llimos   

 別名:

HEUR:Backdoor.Linux.Vpnfilter.a (Kaspersky), ELF.Linux.VPNFilter.GC (Quickheal)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 296,600 bytes
タイプ ELF
メモリ常駐 はい
発見日 2018年5月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Terminate its current process
  • Reboot the infected device
  • Delays the reboot of the device
  • Read local file contents
  • Execute commands or another plugin with the following Linux Shell Commands:
    • /bin/sh
    • /bin/ash
    • /bin/bash
    • /bin/shell
  • Delete system files, and directories
  • Set its C&C proxy
  • Set its C&C proxy port
  • Set its other configuration parameters

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}skd4gipkm.onion/bin32/update.php
  • {BLOCKED}.{BLOCKED}.180.60
  • {BLOCKED}.{BLOCKED}.202.40
  • {BLOCKED}.{BLOCKED}.179.14
  • {BLOCKED}.{BLOCKED}.209.33
  • {BLOCKED}.{BLOCKED}.250.54
  • {BLOCKED}.{BLOCKED}.180.229
  • {BLOCKED}.{BLOCKED}.242.124
  • {BLOCKED}.{BLOCKED}.109.209
  • {BLOCKED}.{BLOCKED}.13.76
  • {BLOCKED}.{BLOCKED}.203.144
  • {BLOCKED}.{BLOCKED}.80.82
  • {BLOCKED}.{BLOCKED}.222.68
  • {BLOCKED}.{BLOCKED}.198.231

情報漏えい

マルウェアは、以下の情報を収集します。

  • Mac Address
  • Platform Version
  • IP Address
  • Bootloader

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.282.07
初回 VSAPI パターンリリース日 2018年5月24日
VSAPI OPR パターンバージョン 14.283.00
VSAPI OPR パターンリリース日 2018年5月25日

手順 1

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_VPNFILT.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 2

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 DATA_GENERIC
  • [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  • 検索が終了したら、フォルダを選択し、SHIFT+DELETEを押します。これにより、フォルダが完全に削除されます。

  • ご利用はいかがでしたか? アンケートにご協力ください