BionicPup64-8.0のマルウェアの件

自己紹介とか、なんでもいいです。
にぎやかに世間話のできる場所

モデレータ: 暇人, YoN, nyu

アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

clamAVの試験をかねてウイルススキャンしたところ、
/usr/local/bin/pnscan
がマルウエアであることが判明
この事で、ここで話題になったことありましたっけ?

ルーターに悪さをする様ですが、発動のきっかけは不明
とりあえずの対処は上記ファイル削除

puppyのフルーガルインストールだと見かけ上消えるだけで、ram実行するとまた現れるので注意して下さい

取り急ぎ@スマホ
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
アバター
ルビー
記事: 1240
登録日時: 14/11/24(月) 12:12

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by ルビー »

タロ兵衛 さんが書きました: 20/02/21(金) 08:54 clamAVの試験をかねてウイルススキャンしたところ、
/usr/local/bin/pnscan
がマルウエアであることが判明
詳細希望。
誤検出じゃないのですよね。
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

タロ兵衛 さんが書きました: 20/02/21(金) 08:54 /usr/local/bin/pnscan
がマルウエアであることが判明
EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。

ネットで検索しても、特定のブログ記事に書かれているだけで、情報がほとんどありません。
私も詳細を知りたいです。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

thinkpadnerd さんが書きました: 20/02/21(金) 12:02 EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。
そこにあるのが本物のようです
ubuntuのパッケージをバラすとインストール先は/usr/binになっています

bionicpup8.0も /usr/binに存在します。つまりpnscanが2つ存在します
/usr/local/bin のもの(マルウエア?)はタイムスタンプが非常に古く、
puppy_bionicpup64_8.0.sfsを作るときに、紛れ込んだのだと思われます

ちなみに、7.5には入っていませんでした。7.98は入ってます(8.0のβですからね)

知り合いに聞いたところ、「これ自体がマルウエアではなく、
他のマルウエアに利用される踏み台になっている可能性もあるかも」
とのこと。
が、usr/local/bin に紛れ込んでいる辺り挙動不審なので、対処はしたいところです

削除済みのpuppy_bionicpup64_8.0.sfsは作ってあるのですが、
バージョン表記が同じなので混乱の元になりそうなので、upはしてません
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
アバター
ルビー
記事: 1240
登録日時: 14/11/24(月) 12:12

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by ルビー »

タロ兵衛 さんが書きました: 20/02/21(金) 12:37 bionicpup8.0も /usr/binに存在します。つまりpnscanが2つ存在します
findでファイル検索したら、
/var/packages/builtin_files/pnscan
があって、ファイルを見てみると、
/usr/bin/ipsort
/usr/bin/pnscan
の記述があります。

/usr/bin/ipsortはスクリプトファイルでした。
内容は、
#!/bin/sh
#
# Sort a file using IPv4 addresses in at the beginning of each line
exec sort -t . -k 1,1n -k 2,2n -k 3,3n -k 4,4n "$@"

これで何か分かりますかね。
pnscanをググっても、英語のサイトばっかりで(^^;。
GitHubで公開してる物とは、また別物なのかな?
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

仕事中にて要件のみ
https://paper.seebug.org/605/
これかな。中国語
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

タロ兵衛 さんが書きました: 20/02/21(金) 12:37 削除済みのpuppy_bionicpup64_8.0.sfsは作ってあるのですが、
バージョン表記が同じなので混乱の元になりそうなので、upはしてません
私も iso を公開している関係上、場合によっては修正版を出す必要があると思いますが、まず、上流である本家のほうで考えてもらう必要があると思います。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
ルビー
記事: 1240
登録日時: 14/11/24(月) 12:12

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by ルビー »

Linux.PNScan.1、Linux.PNScan Trojanなどと呼ばれているみたいですが、GitHubのは、Peter's Network Scannerでpnscan。
別物ではないかなと思うけど、二つあるのは変ですね。
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

/usr/local/bin/pnscan は trojan tsunami が入れたもの?

タイムスタンプが大変古いこと、他の Linux でも /usr/bin/pnscan が定位置ということを考えると確かに変ですね。

一応、本家フォーラムに投稿しておきました。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
ルビー
記事: 1240
登録日時: 14/11/24(月) 12:12

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by ルビー »

# which pnscan
/usr/bin/pnscan
なので、実行しても実害はないのかな。
port scanなんて、普通の人は使わないと思うし(^^;。
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

ルビー さんが書きました: 20/02/22(土) 01:02実行しても実害はないのかな。
/usr/local/bin/pnscan が、リモートからの指示でDDoS攻撃に利用されたりするとまずいと思います。
しかし、ルーターの内側にあっても遠隔操作されることがあるのでしょうか。あるいは、コンピュータに送り込まれたボットが、プログラムされたタイミングで動くのでしょうか。 :?
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
rsurf
記事: 86
登録日時: 09/01/03(土) 12:42

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by rsurf »

自分の環境でも調べてみました。

 「/usr/local/bin/pnscan」はpup571のものと同一で md5ハッシュ「9c45caa54f31bbb9b5e5a85c8b795ed6」が、google検索で「https://virusshare.com/hashes/VirusShare_00367.md5」1件にヒットします。
 しかし内容は逆アセンブルを読めないので断言はできませんが、オリジナルのソースコードに不審を感じさせないように手を加えてリポジトリに忍び込ませたとかでなければ問題無いように見えました(逆アセンブル読める人に見てほしい)。
 これが元々ポートスキャンのツールで、乗っ取られた PCもよく周辺のポートスキャンを行いますので誤認登録されたのではないかと思います。
 どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
 精神衛生上、削除しておいてもよいと思います(pup571で使う場合はソースから自ビルド)。

コード: 全て選択

### pup571 ###
# which pnscan
/usr/local/bin/pnscan	# md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式
# ps | grep pnscan  # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
  3659   18 -rwxr-xr-x   1 root     root        18164  7月  9  2010 /initrd/pup_ro2/usr/local/bin/pnscan	# SFS上のもの
 26929   18 -rwxr-xr-x   1 root     root        18164  7月  9  2010 /usr/local/bin/pnscan

### pup8+18 ###
# which pnscan
/usr/bin/pnscan			# md5:27b0384c5c1572f97e58953d18996154、ELF 32bit形式
# ps | grep pnscan  # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
    10655      1 -rw-r--r--   1 root     root           32  2月 16 18:01 /var/packages/builtin_files/pnscan
     7111     22 -rwxr-xr-x   1 root     root        22076  2月 16 17:58 /usr/bin/pnscan
     5426     22 -rwxr-xr-x   1 root     root        22076  2月 16 17:58 /initrd/pup_ro2/usr/bin/pnscan	# SFS上のもの
    32744      1 -rw-r--r--   1 root     root           32  2月 16 18:01 /initrd/pup_ro2/var/packages/builtin_files/pnscan	# SFS上のもの

### puppy_bionicpup64_8.0.sfs の「/usr/local/bin/pnscan」###
./pnscan  # md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式、pup571の「/usr/local/bin/pnscan」と同一

### puppy_bionicpup64_8.0.sfs の「/usr/bin/pnscan」###
./pnscan  # md5:3a0a7c6d88c2a4e6a89c87c1bed57eac、ELF 64bit形式

### 内容見る ###
# TGT="./pnscan"
# md5sum ${TGT}  # md5ハッシュ
# file ${TGT}  # ファイル情報
# od -Ax -tx1z ${TGT} | less  # 16進ダンプ + asciiコード
# busybox strings ${TGT} | less  # 文字列抽出、devxに本家stringsあり
# objdump -S -d ${TGT} | less  # 逆アセンブル(要devx)
バイナリ中の本家ページ(自称)	http://www.lysator.liu.se/~pen/pnscan	# スウェーデンの大学ドメイン?
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

rsurf さんが書きました: 20/02/22(土) 02:56 どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
32bit モジュールですか。プロパティを確認しなかったので気がつきませんでした。

それなら 32bit 互換ライブラリを入れていなければ動きませんし、削除してもまったく問題ないですね。

追記
本家フォーラムでは、OscarTalks さんが、やはり 32bit モジュールであることを指摘してくださいました。
予め、よく調べるべきでした。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

571由来でしたか。
開発時に感染したと言うよりも紛れ込んだ感じですかね

私が少し前に書いた中国語のサイトでも対処は
/usr/local/bin にある pnscanを削除と書いてありました
ただし、あちらはcentOSでした。
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
アバター
ルビー
記事: 1240
登録日時: 14/11/24(月) 12:12

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by ルビー »

PeasyPort Network Scannerで、pnscanでしたか。
GitHubとも無関係でした。
短く簡潔な命名が好まれる為だろうけど、同じファイル名が多いと混乱します。

とりあえず、何もせずにこのままBionicpup64使用で問題無しですね。 :D
返信する