Trend Micro Security

Backdoor.Perl.SHELLBOT.AB

2019年6月13日
 解析者: Jemimah Mae Molina   

 別名:

Perl/Shellbot.NAK trojan (NOD32); Troj/PerlShel-C (SOPHOS_LITE)

 プラットフォーム:

Windows, Unix, Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

トレンドマイクロは、ハッキング集団「Outlaw」のボットネットによって拡散するボット型マルウェアを確認しました。ボット型マルウェアには、このPerlベースのバックドア型マルウェア「Shellbot」の他に、仮想通貨「Monero」発掘ツールがバンドルされています。「Shellbot」は、ファイルのダウンロード、シェルコマンドの実行、DDoSなどが実行できる複数のバックドアコマンドを備えています。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。


  詳細

ファイルサイズ 35,116 bytes
タイプ PL
メモリ常駐 はい
発見日 2019年5月28日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

  • http://{BLOCKED}.{BLOCKED}.70.249/.x15cache

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}.{BLOCKED}.171.227:443

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

  • #007

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • IRC Control:
    • join → join a specified channel
    • part → leave a specified channel
    • rejoin → leave then rejoin a specified channel
    • op → grant a user an operator status
    • deop → revoke a user's operator status
    • voice → grant a user a voice status
    • devoice → revoke a user's voice status
    • msg → send a private message
    • flood → send a private message for a specified number of times
    • ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
    • ctcp → send a client-to-client protocol request to a specified user or channel
    • invite → invite a user to join a specified channel
    • nick → change nickname
    • conecta → connect to a specified server
    • send → establish a direct connection with another user
    • raw → toggles raw events processing
    • eval → execute specified command
    • entra → join a channel after random seconds
    • sai → leave a channel after random seconds
    • sair → disconnect from the server
    • novonick → change nickname to x{random number}
    • estatisticas → toggles statistics flag
    • pacotes → toggles packets flag
  • Scan ports 21, 22, 23, 25, 53, 80, 110, 143, 6665 of a specific IP
  • Download a file
  • Scan open ports of a specific hostname
  • UDP Flooding
  • Connect to an arbitrary socket
  • Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report

<補足>
バックドア活動

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • IRC制御:
    • join → 特定のチャンネルに参加
    • part → 特定のチャンネルを抜ける
    • rejoin → 特定のチャンネルを抜け再度参加
    • op → ユーザにオペレータのステータスを許可
    • deop → ユーザのオペレータスのステータスを無効化
    • voice → ユーザにボイスのステータスを許可
    • devoice → ユーザのボイスのステータスを無効化
    • msg → プライベートメッセージを送信
    • flood → 特定回数のプライベートメッセージを送信
    • ctcpflood → 特定のユーザまたはチャンネルに特定回数クライアント間プロトコル要求を送信
    • ctcp → 特定のユーザまたはチャンネルにクライアント間プロトコル要求を送信
    • invite → 特定のチャンネルにユーザを招待
    • nick → ニックネームの変更
    • conecta → 特定のサーバへの接続
    • send → 他のユーザとのダイレクト接続を確立
    • raw → 未加工イベント処理の切り替え
    • eval → 特定のコマンドの実行
    • entra → ランダムな秒数後にチャンネルに参加
    • sai → ランダムな秒数後にチャンネルを抜ける
    • sair → サーバから切断
    • novonick → ニックネームを「x{ランダムな数字}」へ変更
    • estatisticas → 統計フラグの切り替え
    • pacotes → パケットフラグの切り替え
  • 特定のIPのポート21, 22, 23, 25, 53, 80, 110, 143, 6665をスキャン
  • ファイルをダウンロード
  • 特定のホスト名のオープンポートをスキャン
  • UDPフラッド攻撃
  • 任意のソケットへの接続
  • 統計レポートを用いたオープンポート上でのIGMP、ICMP、UDP、およびTCPの同時フラッド攻撃


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.138.06
初回 VSAPI パターンリリース日 2019年5月28日
VSAPI OPR パターンバージョン 15.139.00
VSAPI OPR パターンリリース日 2019年5月29日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Perl.SHELLBOT.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください