ELF_XORDDOS.AP

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、「分散型サービス拒否（DDoS）攻撃」を複数のゲームおよび教育関連Webサイトに実行します。マルウェアは、自身のサーバとの通信をXORを介して暗号化します。そのため、XORの名称がつけられています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /var/run/udev.pid
• /lib/libgcc4.so

自動実行方法

マルウェアは、以下のファイルを作成します。

• /etc/cron.hourly/udev.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Start Denial of Service
• Stop Denial of Service
• Update malware
• Download and execute file
• Terminate Process
• Request MD5 Hash of running malware

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• gh.{BLOCKED}a1.org:2833
• www.{BLOCKED}ngfacai.com:2833
• {BLOCKED}.{BLOCKED}.31.154:2833
• {BLOCKED}.{BLOCKED}.9.229
• {BLOCKED}.{BLOCKED}.9.228

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://info1.{BLOCKED}c.com/b/u.php?id=01

その他

マルウェアは、以下のファイルを作成します。

• /etc/cron.hourly/udev.sh (Cronは、UNIX系コンピュータのOSの時間ベースのジョブスケジューラです。)

マルウェアが実行する不正リモートユーザからのコマンドは以下のとおりです。

• 「Denial of Service（DoS、サービス拒否）攻撃」の開始
• 「Denial of Service（DoS、サービス拒否）攻撃」の停止
• マルウェアの更新
• ファイルのダウンロードおよび実行
• プロセスの停止
• 実行中のマルウェアのMDハッシュ値を要求

マルウェアは、フォルダ"/etc/init.d"にシェルスクリプトを作成します。このフォルダは、マルウェアの自動起動を設定します。

マルウェアは、"/etc/init.d"のスクリプトに誘導する5つのショートカットリンクを作成します。

• /etc/rc1.d/S90{random value}
• /etc/rc2.d/S90{random value}
• /etc/rc3.d/S90{random value}
• /etc/rc4.d/S90{random value}
• /etc/rc5.d/S90{random value}

マルウェアは、以下のフラッド攻撃を実行する機能を備えています。

• TCPフラッド攻撃
• UDPフラッド攻撃
• SYNフラッド攻撃
• DNSフラッド攻撃