Backdoor.SH.KIRABASH.YXBLL後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統

風險等級: 低度威脅
摘 要: 病毒通告:
Backdoor.SH.KIRABASH.YXBLL後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、卸載安裝該應用程序,並阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有檔案被感染,立刻將其隔離
7、請參考 trendmicro 對該病毒建議處理方式:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Backdoor.SH.KIRABASH.YXBLL/?_ga=2.73079315.1019711948.1640166458-95149639.1544509404
細節描述: 1.到達詳情後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統。

2.安裝

此後門程式會刪除以下文件:

/tmp/kira.txt

3.後門程式套路

此後門程式連接到以下 URL 以發送和接收來自遠程惡意用戶的命令:

執行任意命令

它使用以下郵件服務器來發送和接收資料:

{BLOCKED}.{BLOCKED}.213.147:8888

4.資料竊取

在執行受影響的應用程程式時,它會收集以下資料:

/etc/passwd 的內容

5.被盜資料

該後門程式通過 HTTP POST 將收集到的資料發送到以下 URL:

http://{BLOCKED}p3bhee98oce9i0cte93092xr.burpcollaborator.net

參考資訊: trendmicro