Backdoor.PHP.DEFACER.B
Windows, Linux, Mac
Malware-Typ:
Backdoor
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.
Technische Details
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Fügt die folgenden Ordner hinzu:
- If request parameter "getTools" is set and directory "/home/{username}/.cpanel" exists
- /home/{username}/mail/{server name}/smtpfox-{random}
- /home/{username}/mail/{server name}/smtpfox-{random}/.Archive
- /home/{username}/mail/{server name}/smtpfox-{random}/.Drafts
- /home/{username}/mail/{server name}/smtpfox-{random}/.Sent
- /home/{username}/mail/{server name}/smtpfox-{random}/.spam
- /home/{username}/mail/{server name}/smtpfox-{random}/.Trash
- /home/{username}/mail/{server name}/smtpfox-{random}/cur
- /home/{username}/mail/{server name}/smtpfox-{random}/new
- /home/{username}/mail/{server name}/smtpfox-{random}/tmp
Schleust die folgenden Dateien ein:
- If request parameter "getTools" is set and directory "/home/{username}/.cpanel" exists
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-acl-list
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidlist
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity.5e196afc
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.list.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.mailbox.log
- /home/{username}/mail/{server name}/smtpfox-{random}/maildirsize
- /home/{username}/mail/{server name}/smtpfox-{random}/subscriptions
- If request parameter "getTools" is set and directory "{document root dir}/wp-admin" exists:
- {Document Root Directory}/wp-admin/php.ini
- {Document Root Directory}/wp-includes/php.ini
- {Document Root Directory}/wp-content/php.ini
- {Document Root Directory}/wp-admin/.htaccess
- {Document Root Directory}/wp-includes/.htaccess
- {Document Root Directory}/wp-content/.htaccess
- {Document Root Directory}/wp-includes/index.php
- Else If directory "{document root dir}/components" exists:
- {Document Root Directory}/components/php.ini
- {Document Root Directory}/administrator/php.ini
- {Document Root Directory}/libraries/php.ini
- {Document Root Directory}/components/.htaccess
- {Document Root Directory}/administrator/.htaccess
- {Document Root Directory}/libraries/.htaccess
- Else:
- {Document Root Directory}/php.ini
Andere Systemänderungen
Ändert die folgenden Dateien:
- It rewrites the following cPanel files' email address:
- /home/{username}/.contactemail
- /home/{username}/.cpanel/contactinfo
- It appends created SMTP credentials:
- /home/{username}/etc/{server name}/shadow
- /home/{username}/etc/shadow
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Replace cPanel email address
- Reset cPanel Password
- Download and drop tools
- Create email account
Download-Routine
Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:
- http://{BLOCKED}ousfox.to/files/olux-shell.txt
- http://{BLOCKED}ousfox.to/files/xleet-shell.txt
- http://{BLOCKED}ousfox.to/files/mailer.txt
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- If directory "{document root dir}/wp-admin" exists:
- {Document Root Directory}/wp-admin/{random string}.php
- {Document Root Directory}/wp-includes/{random string}.php
- {Document Root Directory}/wp-content/{random string}.php
- Else If directory "{document root dir}/components" exists:
- {Document Root Directory}/components/{random}.php
- {Document Root Directory}/administrator/{random}.php
- {Document Root Directory}/libraries/{random}.php
- Else:
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 3
Diese Datei suchen und löschen
- {Document Root Directory}/wp-admin/{random string}.php
- {Document Root Directory}/wp-includes/{random string}.php
- {Document Root Directory}/wp-content/{random string}.php
- {Document Root Directory}/components/{random}.php
- {Document Root Directory}/administrator/{random}.php
- {Document Root Directory}/libraries/{random}.php
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/wp-admin/php.ini
- {Document Root Directory}/wp-includes/php.ini
- {Document Root Directory}/wp-content/php.ini
- {Document Root Directory}/wp-admin/.htaccess
- {Document Root Directory}/wp-includes/.htaccess
- {Document Root Directory}/wp-content/.htaccess
- {Document Root Directory}/wp-includes/index.php
- {Document Root Directory}/components/php.ini
- {Document Root Directory}/administrator/php.ini
- {Document Root Directory}/libraries/php.ini
- {Document Root Directory}/components/.htaccess
- {Document Root Directory}/administrator/.htaccess
- {Document Root Directory}/libraries/.htaccess
- {Document Root Directory}/php.ini
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-acl-list
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidlist
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity.5e196afc
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.list.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.mailbox.log
- /home/{username}/mail/{server name}/smtpfox-{random}/maildirsize
- /home/{username}/mail/{server name}/smtpfox-{random}/subscriptions
Step 4
Diesen Ordner suchen und löschen
- /home/{username}/mail/{server name}/smtpfox-{random}
- /home/{username}/mail/{server name}/smtpfox-{random}/.Archive
- /home/{username}/mail/{server name}/smtpfox-{random}/.Drafts
- /home/{username}/mail/{server name}/smtpfox-{random}/.Sent
- /home/{username}/mail/{server name}/smtpfox-{random}/.spam
- /home/{username}/mail/{server name}/smtpfox-{random}/.Trash
- /home/{username}/mail/{server name}/smtpfox-{random}/cur
- /home/{username}/mail/{server name}/smtpfox-{random}/new
- /home/{username}/mail/{server name}/smtpfox-{random}/tmp
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Backdoor.PHP.DEFACER.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 6
Restore this file from backup only Microsoft-related files will be restored. If this malware/grayware also deleted files related to programs that are not from Microsoft, please reinstall those programs on you computer again.
- /home/{username}/.contactemail
- /home/{username}/.cpanel/contactinfo
- /home/{username}/etc/{server name}/shadow
- /home/{username}/etc/shadow
Nehmen Sie an unserer Umfrage teil