Trend Micro Security

Backdoor.Perl.SHELLBOT.AC

2020年7月23日
 解析者: Kennard Yap   
 プラットフォーム:

Windows; Unix

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

  詳細

ファイルサイズ 38,043 bytes
タイプ PL
メモリ常駐 はい

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}.{BLOCKED}.{BLOCKED}.227:80
  • {BLOCKED}.{BLOCKED}.{BLOCKED}.227:23
  • {BLOCKED}.{BLOCKED}.{BLOCKED}.227:143
  • {BLOCKED}.{BLOCKED}.{BLOCKED}.227:3389
  • {BLOCKED}.{BLOCKED}.{BLOCKED}.227:6667

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

  • #y

マルウェアは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • portscan: scan the ports 21, 22, 23, 25, 53, 80, 110, 143
  • download: downloads a file
  • fullportscan: scans for open ports in a specific host
  • udp: UDP flooding
  • udpfaixa: infinite UDP flooding
  • conback: connects to a specific socket
  • oldpack: ICMP, IGMP, UDP, TCP flooding
  • IRC Control:
    • join: joins a channel
    • part: leaves a channel
    • rejoin: leaves and rejoins a channel
    • op: grants a user an operator status
    • deop: revokes a user's operator status
    • voice: grants a user a voice status
    • devoice: revokes a user's voice status
    • msg: sends a message
    • flood: sends a message for a specified number of times
    • ctcpflood: sends a client to client protocol request to a specified user or channel for a specified number of times
    • ctcp: sends a client to client protocol request to a specified user or channel
    • invite: invites a user to join the channel
    • nick: changes a nickname
    • conecta: connects to a specified server with the port 6667
    • send: establishes a direct connection to a user
    • raw: toggles raw event processing
    • eval: executes the specified code
    • entra: joins a channel after a random amount of seconds
    • sai: leaves a channel after a random amount of seconds
    • sair: disconnects from a server
    • novonick: changes the nickname to dark{ranndom number}
    • estatisticas: toggles the statistics flag
    • pacotes: toggles the packets flag

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.722.02
初回 VSAPI パターンリリース日 2020年2月4日
VSAPI OPR パターンバージョン 15.723.00
VSAPI OPR パターンリリース日 2020年2月5日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Perl.SHELLBOT.AC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください