Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

C&Cサーバーとピンポンする新たなLinuxマルウェア

2014年12月3日

株式会社Doctor Web Pacific


Doctor WebセキュリティリサーチャーはLinuxを標的とする危険なマルウェアについて解析を行いました。Linux.BackDoor.Fgt.1としてウイルスデータベースに追加されたこのマルウェアはDDoS攻撃を行うよう設計されていました。

感染したデバイス上で起動されると、Linux.BackDoor.Fgt.1はGoogleサーバーの一つにリクエストを送信することでデバイスがインターネットに接続されているかどうかを確認し、接続が確認されるとデバイスのIPおよびMACアドレスを取得します。次にLinux.BackDoor.Fgt.1は、自身のバージョンに関する情報を送信するために本体にハードコードされたC&Cサーバーアドレスに対して接続を試み、その応答として、感染したデバイス上で実行するコマンドを含んだデータを受け取ります。C&Cサーバーから送信されたコマンドがPINGであった場合、バックドアはPONGを返し、感染したデバイス上での動作を続行します。コマンドがDUPであった場合、Linux.BackDoor.Fgt.1は動作を停止します。

このバックドアは一つのサイクルで256のランダムなIPアドレスをスキャンする特殊なルーチンを使用し、スキャンのサイクルは犯罪者からのコマンドによって開始されます。IPアドレスの生成時に、Linux.BackDoor.Fgt.1はそれらがLAN内で使用されるアドレス範囲に含まれているかどうかを確認し、そのようなアドレスは無視します。接続に失敗した場合、Linux.BackDoor.Fgt.1は失敗に関する情報をC&Cサーバーに送信し、接続に成功した場合はTelnet経由でリモートホストに接続してログインプロンプトを待ちます。生成されたリストからログインをリモートホストに送信した後、Linux.BackDoor.Fgt.1はリモートマシンの応答を解析します。パスワードの要求が含まれていた場合、バックドアはリスト上で見つかったパスワードを使用してログインを試みます。成功すると、リモートホスト認証に使用されたIPアドレス、ログイン、パスワードがC&Cサーバーに送信され、ターゲットとなるノードには特別なスクリプトをダウンロードするためのコマンドが送信されます。このスクリプトによって、感染したシステム上にLinux.BackDoor.Fgt.1がダウンロードされ、起動されます。C&Cサーバーには、MIPS およびSPARCサーバーポートを含む異なるLinuxのバージョンやディストリビューション向けに設計された複数のLinux.BackDoor.Fgt.1実行ファイルが保存されていることから、このバックドアはインターネットに接続されたサーバーのみでなく、ルーターなどの他のデバイスをも感染させることが可能であるという点に注意する必要があります。

Linux.BackDoor.Fgt.1は以下のコマンド実行することができます。

  • 感染したデバイスのIPアドレスを特定する
  • IPスキャンを開始/停止
  • 指定されたホストに対してDNSアンプ攻撃(DNS Amplification Attack)を実行する
  • 指定されたホストに対してUDPフラッド攻撃を実行する
  • 指定されたホストに対してSYNフラッド攻撃を実行する
  • DDoS攻撃を停止
  • バックドアをシャットダウン

Linux.BackDoor.Fgt.1のシグネチャは既にDr.Webウイルスデータベースに追加されているため、Doctor Web anti-viruses for Linuxユーザーに対して危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F