Backdoor.Linux.MOZI.A
2020年9月17日
別名:
HEUR:Backdoor.Linux.Mirai.b (KASPERSKY); Trojan:Linux/Mirai.AH!MTB (MICROSOFT)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
ファイルサイズ 132,860 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年9月13日
ペイロード DoS攻撃またはDDoS攻撃, その他, プロセスの強制終了, URLまたはIPアドレスに接続
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Perform various DDoS attack
- Collecting Bot Information
- Execute the payload of the specified URL
- Update the sample from the specified URL
- Execute system or custom commands
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- telnetd
- utelnetd
- scfgmgr
その他
マルウェアは、以下を実行します。
- It uses the following credentials to try to login to other devices:
- !!Huawei
- 00000000
- 1111
- 1111111
- 1234
- 12345
- 123456
- 2010vesta
- 2011vesta
- 54321
- 666666
- 7ujMko0admin
- 7ujMko0vizxv
- 888888
- @HuaweiHgw
- admin
- admin1
- admin1234
- adminHW
- Administrator
- administrator
- adminpass
- anko
- cat1029
- CMCCAdmin
- conexant
- CUAdmin
- default
- dreambox
- e2008jl
- e8ehome
- e8ehome1
- e8telnet
- epicrouter
- fucker
- GM8182
- gpon
- guest
- gw1admin
- h@32LuyD
- hg2x0
- hi3518
- ikwb
- juantech
- jvbzd
- keomeo
- klv123
- klv1234
- meinsm
- mother
- pass
- password
- PhrQjGzk
- plumeria0077
- Pon521
- r@p8p0r+
- rapport
- realtek
- root
- service
- smcadmin
- super
- supervisor
- support
- system
- tech
- telnetadmin
- ubnt
- user
- v2mprt
- vizxv
- xc3511
- xJ4pCYeW
- xmhdipc
- zlxx
- zte
- Zte521
- It changes its process name to "sshd" if /usr/bin/python exists on the affected machine. Otherwise, it changes it to "dropbear".
- This sample uses a DHT protocol to build or establish a peer-to-peer network and uses the following public nodes to send and receive commands:
- dht.transmis{BLOCKED}.com:6881
- router.bitt{BLOCKED}.com:6881
- bttracker.{BLOCKED}.org:6881
- {BLOCKED}.{BLOCKED}.33.59:6881
- {BLOCKED}.{BLOCKED}.103.244:6881
- {BLOCKED}.{BLOCKED}.18.159:6881
- {BLOCKED}.{BLOCKED}.162.88:6881
- It may spread to other devices by taking advantage of the following vulnerabilities:
- Eir D1000 Wireless Router - WAN Side Remote Command Injection
- SSD Advisory – Vacron NVR Remote Command Execution
- Realtek SDK - Miniigd UPnP SOAP Command Execution
- Netgear R7000 / R6400 - 'cgi-bin' Command Injection
- Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution
- MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution
- Huawei Router HG532 - Arbitrary Command Execution
- D-Link Devices - HNAP SOAPAction-Header Command Execution
- GPON Routers - Authentication Bypass / Command Injection
- D-Link Devices - UPnP SOAP TelnetD Command Execution
- Multiple CCTV-DVR Vendors - Remote Code Execution
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.232.06
初回 VSAPI パターンリリース日 2020年9月17日
VSAPI OPR パターンバージョン 16.233.00
VSAPI OPR パターンリリース日 2020年9月18日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.MOZI.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください