IoT.Linux.MIRAI.VWIUO
2020年7月21日
別名:
ELF:Mirai-GG [Trj] (AVAST); ELF/Mirai.GG!tr (FORTINET)
プラットフォーム:
Unix
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 46,304 bytes
タイプ ELF
ファイル圧縮 UPX
メモリ常駐 はい
発見日 2020年7月20日
ペイロード URLまたはIPアドレスに接続, DoS攻撃またはDDoS攻撃
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- snortcnc.{BLOCKED}s.org
- snortscan.{BLOCKED}s.org
その他
マルウェアは、以下を実行します。
- It uses the following credentials to try to login to other devices:
- taZz@23495859
- root
- tsgoingon
- solokey
- admin
- default
- user
- guest
- telnetadmin
- 1111
- 1234
- 12345
- 123456
- 54321
- 88888888
- 20080826
- 666666
- 888888
- 1001chin
- xc3511
- vizxv
- 5up
- jvbzd
- hg2x0
- Zte521
- grouter
- telnet
- oelinux123
- tl789
- GM8182
- hunt5759
- telecomadmin
- twe8ehome
- h3c
- nmgx_wapia
- private
- abc123
- ROOT500
- ahetzip8
- anko
- ascend
- blender
- cat1029
- changeme
- iDirect
- nflection
- ipcam_rt5350
- swsbzkgn
- juantech
- pass
- password
- svgodie
- t0talc0ntr0l4!
- zhongxing
- zlxx.
- zsun1188
- xmhdipc
- klv123
- hi3518
- 7ujMko0vizxv
- 7ujMko0admin
- dreambox
- system
- iwkb
- realtek
- 00000000
- 12341234
- huigu309
- win1dows
- antslq
- It displays the following string once executed in the command line:
- unstableishere
- It may spread to other devices by taking advantage of the following vulnerabilities:
- AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities
- Comtrend VR-3033 - Command Injection
- CVE-2014-8361 |Realtek SDK - Miniigd UPnP SOAP Command Execution
- CVE-2015-2051 | D-Link Devices - HNAP SOAPAction-Header Command Execution
- CVE-2017-8221 | Wireless IP Camera (P2P) WIFICAM - Remote Code Execution
- CVE-2017-17215 | Huawei Router HG532 - Arbitrary Command Execution
- CVE-2017-18368 | Zyxel P660HN-T v1 - Remote Command Execution
- CVE-2018-10561 | GPON Routers - Authentication Bypass / Command Injection
- CVE-2018-17173 | LG SuperSign EZ CMS 2.5 - Remote Code Execution
- D-Link Devices - UPnP SOAP Command Execution
- D-Link DSL-2750B - OS Command Injection
- Eir D1000 Wireless Router - WAN Side Remote Command Injection
- Linksys E-series - Remote Code Execution
- MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution
- Netlink GPON Router 1.0.11 - Remote Code Execution
- Symantec Web Gateway 5.0.2.8 - Remote Code Execution
- ThinkPHP 5.0.23/5.1.31 - Remote Code Execution
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.116.04
初回 VSAPI パターンリリース日 2020年7月21日
VSAPI OPR パターンバージョン 16.117.00
VSAPI OPR パターンリリース日 2020年7月22日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「IoT.Linux.MIRAI.VWIUO」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください