Analysé par: Arianne Grace Dela Cruz   

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware, Se propage via les failles des logiciels

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites. Ce programme malveillant peut arriver selon une ou plusieurs méthodes.

Exécute des commandes envoyées par un utilisateur distant malintentionné, compromettant dangereusement la sécurité du système affecté.

  Détails techniques

File size: 3,080 bytes
File type: PHP
Memory resident: Non
Date de réception des premiers échantillons: 22 février 2021
Charge malveillante: Drops files

Précisions sur l'apparition de l'infection

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Il arrive par les moyens suivants :

  • It may be delivered by exploiting the following vulnerabilities:
    • CVE-2021-27101
    • CVE-2021-27102
    • CVE-2021-27103
    • CVE-2021-27104

Routine de portes dérobées

Exécute les commandes suivantes envoyées par un utilisateur distant malintentionné :

  • Download files from victim server
  • Delete traces in the system

Routine d'introduction

Introduit les fichiers suivants :

  • /tmp/.scr → temporary file used to delete traces of the malware when requested by the C&C; deleted afterwards.
  • /tmp/.out → temporary file used to redirect logging of malware trace deletion; deleted afterwards.

Autres précisions

Il fait ce qui suit:

  • Once accessed, it will display the list of files existing in the SQL database hosted in the target server
  • It displays the following if no files are present in the database:
  • It uses the dropped file /tmp/.scr to delete traces of itself in the server. This dropped file does the following:
    • Remove the line referencing the malware in all of the logs located in "/var/opt/apache".
    • Overwrite the contents of adminpl.log with blanks.
    • Delete malware trace in the machine.
    • Overwrite /var/log/secure with blanks.

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 16.596.05
First VSAPI Pattern Release Date: 15 mars 2021
VSAPI OPR Pattern Version: 16.597.00
VSAPI OPR Pattern Release Date: 16 mars 2021

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant Backdoor.PHP.DEWMODE.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!