ELF_KAITEN.SME
2025年2月17日
:
Backdoor:Linux/Tsunami.C!MTB (MICROSOFT)
平台:
Linux
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Backdoor
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
它会连接互联网中继聊天(IRC)服务器,并加入互联网中继聊天(IRC)频道。
技术详细信息
文件大小: 40,408 bytes
报告日期: ELF
内存驻留: 是的
初始樣本接收日期: 2025年2月11日
Payload: 连接URL/IP地址
Arrival Details
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
Backdoor Routine
该后门程序会连接以下任意互联网中继聊天(IRC)服务器:
- {BLOCKED}.{BLOCKED}.{BLOCKED}.23:443
它会加入以下任意互联网中继聊天(IRC)频道:
- #roots
它会访问远程互联网中继聊天(IRC)服务器,并从远程恶意用户处接收以下命令:
- PING → return "PONG"
- NICK → change nickname
- PRIVMSG:
- TSUNAMI
→ TCP Flood Attack - PAN
→ SYN Flood Attack - UDP
→ UDP Flood Attack - UNKNOWN
→ UDP Flood Attack (Non-spoof) - NICK
→ change or set nickname - SERVER
→ change server - GETSPOOFS → create spoofing parameters
- SPOOFS
→ change spoofing to subnet - DISABLE → stop bot
- ENABLE → continue running bot
- KILL → terminates running bot instance
- KILLALL → terminates all running bot instances
- GET
→ download file from a web address - VERSION → sends "Kaiten wa goraku"
- HELP → list all commands
- IRC
→ sends commands to the server - SH
→ executes a command
- TSUNAMI
- 376 → MODE, JOIN, WHO
- 433 → set nickname
- 352 → spoof request
其他信息
该后门程序会执行以下操作:
- It adds the line "
/ " to either of the following startup scripts to enable its automatic execution at every system startup:- /etc/rc.d/rc.local
- /etc/rc.conf
- It disguises itself as a legitimate process by executing using the following process names:
- master
- crond
- -bash
- It accesses the following file to generate random strings:
- /usr/dict/words
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 12.943.50
VSAPI 第一样式发布日期: 2016年12月6日
VSAPI OPR样式版本: 12.943.50
VSAPI OPR样式发布日期: 2016年12月7日
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 ELF_KAITEN.SME. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: