Trojan.SH.MIRAI.BOI
2020年7月23日
別名:
BV:Downloader-JS [Drp] (AVAST); Linux/Downloader.p(NAI)
プラットフォーム:
Unix
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 2,700 bytes
タイプ Script
メモリ常駐 なし
発見日 2020年7月22日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}.{BLOCKED}.8.24/bins/sora.{architecture}
where {architecture} are the following:- x86
- mips
- mpsl
- arm4
- arm5
- arm6
- arm7
- ppc
- m68k
- sh4
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- {directory}/sysctl
where {directory} can be any of the following:- /tmp
- /var/run
- /mnt
- /root
- /etc/init.d
- / (root directory)
その他
マルウェアは、以下を実行します。
- It switches to root user to have root privileges.
- It clears the following objects:
- /etc/cron.d/start
- /etc/cron.daily/dkpp
- It creates the following cron job to enable automatic execution of $PATH:/var/run/sysctl:
- Paths:
- /etc/cron.d/start
- /etc/cron.daily/dkpp
Command: 00 00 * * * root PATH="$PATH:/var/run/sysctl"
- Paths:
- It resets the IP policy table.
- It blocks incoming TCP connections on the following ports:
- 22
- 23
- 80
- 443
- 8080
- 9000
- 8089
- 7070
- 8081
- 9090
- 161
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.118.05
初回 VSAPI パターンリリース日 2020年7月22日
VSAPI OPR パターンバージョン 16.119.00
VSAPI OPR パターンリリース日 2020年7月23日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.SH.MIRAI.BOI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください