Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、Linuxを標的とするバックドアを解析

2016年10月20日

株式会社Doctor Web Pacific


バックドア型トロイの木馬の多くはMicrosoft Windowsを狙って作成されていますが、中にはLinuxデバイスを感染させるものも存在します。そのような数少ないトロイの木馬の1つが2016年10月にDoctor Webのスペシャリストによって発見されました。

Linux.BackDoor.FakeFile.1 と名付けられたこのトロイの木馬は、アーカイブされたPDFファイルやMicrosoft Officeファイル、Open Officeファイルとして拡散されています。

起動されると、 Linux.BackDoor.FakeFile.1 はユーザーのホームディレクトリ内にある.gconf/apps/gnome-common/gnome-commonフォルダに自身を保存します。次に、トロイの木馬のファイル名と一致する隠しファイルを探し、それを実行ファイルと置き換えます。例えば、 Linux.BackDoor.FakeFile.1 のELFファイルの名前がAnyName.pdfだった場合、トロイの木馬はAnyName.pdfという名前の隠しファイルを探し、mv .AnyName.pdf AnyName.pdfコマンドを使用してそのファイルを置き換えます。ファイルが見つからなかった場合、 Linux.BackDoor.FakeFile.1 によってファイルが作成され、geditプログラム内で開かれます。

続けて、 Linux.BackDoor.FakeFile.1 はインストールされているLinuxディストリビューション名をチェックし、それがopenSUSE以外であった場合は<HOME>/.profileファイルまたは<HOME>/.bash_profileファイルにコマンドを書き込み、トロイの木馬が自動的に起動されるようにします。その後、自身のファイルから設定データを取り出して復号化し、2つのスレッドを実行します。1つ目のスレッドはC&Cサーバーと情報を共有し、2つ目のスレッドは接続時間をモニタリングします。指示を受け取らない時間が30分を超えると、トロイの木馬は接続を切断します。

Linux.BackDoor.FakeFile.1 は以下のコマンドを実行することができます:

  • 現在のセッション中に送信されたメッセージ数をC&Cサーバーに送信する
  • 指定されたフォルダの内容一覧を送信する
  • 指定されたファイルまたはフォルダとその全ての内容をC&Cサーバーへ送信する
  • ディレクトリを削除する
  • ファイルを削除する
  • フォルダの名前を変更する
  • 自身を削除する
  • プロセスの新しいコピーを実行する
  • 現在のセッションを閉じる
  • コネクトバック通信を確立しshを実行する
  • コネクトバック通信を終了する
  • 書き込みのためにプロセスの実行ファイルを開く
  • プロセスファイルを閉じる
  • ファイルまたはフォルダを作成する
  • 送信された値をファイルに書き込む
  • 指定されたディレクトリ内にあるファイルの名前、パーミッション、サイズ、作成日を取得する
  • 指定されたファイルに権限777を与える
  • バックドアの動作を終了する

Linux.BackDoor.FakeFile.1 は、自身が起動されたカレントユーザーアカウントの権限を使用して悪意のある動作を実行することができ、ルート権限を必要としません。Dr.Web for Linuxのデータベースには既にこのトロイの木馬のシグネチャが追加されています。したがって、 Linux.BackDoor.FakeFile.1 はDoctor Webのアンチウイルス製品によって検出・削除されます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F