IoT.Linux.MIRAI.VWISI
2020年7月8日
プラットフォーム:
Unix
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは9つの脆弱性を利用する機能を備えていますが、中でもComtrend社製 VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が特に注目されます。これまでの亜種と同様に、TelnetとSecure Shell(SSH)に対するブルートフォース/辞書攻撃も実行します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 41,856 bytes
タイプ ELF
ファイル圧縮 UPX
メモリ常駐 はい
発見日 2020年7月2日
ペイロード URLまたはIPアドレスに接続
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- methcnc.{BLOCKED}s.org
- methscan.{BLOCKED}s.org
その他
マルウェアは、以下を実行します。
- It uses the following credentials to try to login to other devices:
- taZz@23495859
- root
- tsgoingon
- solokey
- admin
- default
- user
- guest
- telnetadmin
- 1111
- 1234
- 12345
- 123456
- 54321
- 88888888
- 20080826
- 666666
- 1001chin
- xc3511
- vizxv
- 5up
- jvbzd
- hg2x0
- Zte521
- grouter
- telnet
- oelinux123
- tl789
- GM8182
- hunt5759
- telecomadmin
- twe8ehome
- h3c
- nmgx_wapia
- private
- abc123
- ROOT500
- ahetzip8
- anko
- ascend
- blender
- cat1029
- changeme
- iDirect
- nflection
- ipcam_rt5350
- swsbzkgn
- juantech
- pass
- password
- svgodie
- t0talc0ntr0l4!
- zhongxing
- zlxx.
- zsun1188
- xmhdipc
- klv123
- hi3518
- dreambox
- system
- iwkb
- realtek
- 00000000
- huigu309
- win1dows
- antslq
- It displays the following string once executed in the command line:
- unstableishere
- It may spread to other devices by taking advantage of the following vulnerabilities:
- Symantec Web Gateway 5.0.2.8 - Remote Code Execution
- D-Link Devices - UPnP SOAP Command Execution
- Linksys E-series - Remote Code Execution
- AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities
- MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution
- CVE-2018-17173| LG SuperSign EZ CMS 2.5 - Remote Code Execution
- ThinkPHP 5.0.23/5.1.31 - Remote Code Execution
- Netlink GPON Router 1.0.11 - Remote Code Execution
- CVE-2020-10173 | Comtrend VR-3033 - Command Injection
<補足>
サービス拒否(Denial of Service)攻撃
マルウェアは、様々なネットワークを通じてDoS攻撃を実行します。
その他
マルウェアは、以下を実行します。
- 以下の認証情報を用いて、他のデバイスへのログインを試みます。
- taZz@23495859
- root
- tsgoingon
- solokey
- admin
- default
- user
- guest
- telnetadmin
- 1111
- 1234
- 12345
- 123456
- 54321
- 88888888
- 20080826
- 666666
- 1001chin
- xc3511
- vizxv
- 5up
- jvbzd
- hg2x0
- Zte521
- grouter
- telnet
- oelinux123
- tl789
- GM8182
- hunt5759
- telecomadmin
- twe8ehome
- h3c
- nmgx_wapia
- private
- abc123
- ROOT500
- ahetzip8
- anko
- ascend
- blender
- cat1029
- changeme
- iDirect
- nflection
- ipcam_rt5350
- swsbzkgn
- juantech
- pass
- password
- svgodie
- t0talc0ntr0l4!
- zhongxing
- zlxx.
- zsun1188
- xmhdipc
- klv123
- hi3518
- dreambox
- system
- iwkb
- realtek
- 0
- huigu309
- win1dows
- antslq
- マルウェアは、コマンドライン内で実行されると、以下の文字列を表示します
- unstableishere
- マルウェアは、以下の脆弱性を利用して、他のデバイスに拡散する可能性があります。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.968.02
初回 VSAPI パターンリリース日 2020年7月3日
VSAPI OPR パターンバージョン 15.969.00
VSAPI OPR パターンリリース日 2020年7月4日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「IoT.Linux.MIRAI.VWISI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください