Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

アンチウイルスを削除する、Linux向けの新たなマイニング型トロイの木馬

2018年11月26日

株式会社Doctor Web Pacific


今日、違法な収益を得るために最も多く使用されているのは、ユーザーの同意なしにコンピューターのリソースを使用して密かに仮想通貨をマイニングするという方法です。Doctor Webはこの度、Linuxデバイスを感染させるマイナーを発見しました。このマルウェアは他のネットワークデバイスを感染させて動作中のアンチウイルスを削除することもできます。

Linux.BtcMine.174としてDr.Webのウイルスデータベースに追加されたこのトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、複数のコンポーネントから構成されています。起動されると、 Linux.BtcMine.174 は後に他のモジュールをそこからダウンロードするサーバーが使用可能であることを確認し、それらモジュールのロード先となる書き込み権限を持ったフォルダをディスク上で検索します。その後、事前に選択されていた diskmanagerd という名前のフォルダにスクリプトが移動され、デーモンとして再起動されます。その際、トロイの木馬は nohup ユーティリティを使用します。システム内にこのユーティリティがない場合、トロイの木馬は nohup を含む coreutils パッケージを自動的にダウンロードしてインストールします。

インストールされると、悪意のあるスクリプトはトロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うことを可能にします。

screenshot Linux.BtcMine.174 #drweb

システム内にインストールされた Linux.BtcMine.174 は競合するマイナーを探し、見つかった場合はそれらのプロセスを終了させます。 Linux.BtcMine.174 が root として起動されていない場合は、複数のエクスプロイトを使用して、感染させたシステム内で自身の権限を昇格させます。Doctor Webのマルウェアアナリストは Linux.BtcMine.174 が使用する少なくとも2つのエクスプロイト、 Linux.Exploit.CVE-2016-5195(DirtyCow とも呼ばれます)および Linux.Exploit.CVE-2013-2094 を特定しました。このトロイの木馬はDirtyCowソースファイルをインターネットからダウンロードし、それらを感染したマシン上で直接コンパイルします。

その後、マルウェアはsafedog、 aegis、 yunsuo、 clamd、 avast、 avgd、 cmdavd、 cmdmgd、 drweb-configd、 drweb-spider-kmod、 esets、 xmirrordという名前の動作中のアンチウイルスソフトウェアサービスを探します。それらが見つかった場合、トロイの木馬はアンチウイルスのプロセスを終了させるだけでなく、パッケージマネージャを使用して、製品がインストールされているフォルダと製品のファイルを削除します。

続けて、 Linux.BtcMine.174 は自身を自動実行リストに追加し、感染したデバイス上でルートキットをダウンロードして起動させます。このモジュールはパブリックドメインで公開されたソースコードを基にしたshスクリプトでもあります。ルートキットモジュールの持つ注目すべき機能には、suコマンドのユーザーが入力したパスワードを盗む、ファイルシステム、ネットワーク接続、動作中のプロセス内のファイルを隠す、というものがあります。 Linux.BtcMine.174 はコンピューターがこれまでにSSH経由で接続していたホストに関する情報を収集し、それらホストを感染させようとします。

これらすべてのステップが完了すると、 Linux.BtcMine.174 はシステム内で Monero(XMR) のマイナーを起動させ、それが動作しているかどうかを毎分確認し、必要な場合は自動的に再起動させます。また、利用可能な更新をダウンロードするために連続したループで管理サーバーに接続します。

Linux.BtcMine.174 とそのコンポーネントはすべてLinux向けのDr.Webアンチウイルスによって検出されます。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

脅威の痕跡情報 (Indicators of Compromise) の一覧はこちらをご確認ください: https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

Linux.BtcMine.174の詳細(英語)

#Linux #cryptocurrency #mining #Trojan

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F