Backdoor.PHP.DEFACER.B

Publish Date: 14 février 2022

Analysé par: Maria Emreen Viray

Plate-forme:

Windows, Linux, Mac

Overall Risk:

Dommages potentiels: :

Distribution potentielle: :

reportedInfection:

Information Exposure Rating::

Faible

Medium

Élevé

Critique

Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui

Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Détails techniques

File size: 10,744 bytes

File type: PHP

Memory resident: Non

Date de réception des premiers échantillons: 01 février 2022

Charge malveillante: Connects to URLs/IPs, Downloads files

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

If request parameter "getTools" is set and directory "/home/{username}/.cpanel" exists
- /home/{username}/mail/{server name}/smtpfox-{random}
- /home/{username}/mail/{server name}/smtpfox-{random}/.Archive
- /home/{username}/mail/{server name}/smtpfox-{random}/.Drafts
- /home/{username}/mail/{server name}/smtpfox-{random}/.Sent
- /home/{username}/mail/{server name}/smtpfox-{random}/.spam
- /home/{username}/mail/{server name}/smtpfox-{random}/.Trash
- /home/{username}/mail/{server name}/smtpfox-{random}/cur
- /home/{username}/mail/{server name}/smtpfox-{random}/new
- /home/{username}/mail/{server name}/smtpfox-{random}/tmp

Schleust die folgenden Dateien ein:

If request parameter "getTools" is set and directory "/home/{username}/.cpanel" exists
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-acl-list
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidlist
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity.5e196afc
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.list.index.log
- /home/{username}/mail/{server name}/smtpfox-{random}/dovecot.mailbox.log
- /home/{username}/mail/{server name}/smtpfox-{random}/maildirsize
- /home/{username}/mail/{server name}/smtpfox-{random}/subscriptions
If request parameter "getTools" is set and directory "{document root dir}/wp-admin" exists:
- {Document Root Directory}/wp-admin/php.ini
- {Document Root Directory}/wp-includes/php.ini
- {Document Root Directory}/wp-content/php.ini
- {Document Root Directory}/wp-admin/.htaccess
- {Document Root Directory}/wp-includes/.htaccess
- {Document Root Directory}/wp-content/.htaccess
- {Document Root Directory}/wp-includes/index.php
Else If directory "{document root dir}/components" exists:
- {Document Root Directory}/components/php.ini
- {Document Root Directory}/administrator/php.ini
- {Document Root Directory}/libraries/php.ini
- {Document Root Directory}/components/.htaccess
- {Document Root Directory}/administrator/.htaccess
- {Document Root Directory}/libraries/.htaccess
Else:
- {Document Root Directory}/php.ini

Andere Systemänderungen

Ändert die folgenden Dateien:

It rewrites the following cPanel files' email address:
- /home/{username}/.contactemail
- /home/{username}/.cpanel/contactinfo
It appends created SMTP credentials:
- /home/{username}/etc/{server name}/shadow
- /home/{username}/etc/shadow

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

Replace cPanel email address
Reset cPanel Password
Download and drop tools
Create email account

Download-Routine

Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:

http://{BLOCKED}ousfox.to/files/olux-shell.txt
http://{BLOCKED}ousfox.to/files/xleet-shell.txt
http://{BLOCKED}ousfox.to/files/mailer.txt

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

If directory "{document root dir}/wp-admin" exists:
- {Document Root Directory}/wp-admin/{random string}.php
- {Document Root Directory}/wp-includes/{random string}.php
- {Document Root Directory}/wp-content/{random string}.php
Else If directory "{document root dir}/components" exists:
- {Document Root Directory}/components/{random}.php
- {Document Root Directory}/administrator/{random}.php
- {Document Root Directory}/libraries/{random}.php
Else:
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php
- {Document Root Directory}/{random string}.php

Solutions

Moteur de scan minimum: 9.800

First VSAPI Pattern File: 17.352.08

First VSAPI Pattern Release Date: 01 février 2022

VSAPI OPR Pattern Version: 17.353.00

VSAPI OPR Pattern Release Date: 02 février 2022

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Diese Datei suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

{Document Root Directory}/wp-admin/{random string}.php
{Document Root Directory}/wp-includes/{random string}.php
{Document Root Directory}/wp-content/{random string}.php
{Document Root Directory}/components/{random}.php
{Document Root Directory}/administrator/{random}.php
{Document Root Directory}/libraries/{random}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/wp-admin/php.ini
{Document Root Directory}/wp-includes/php.ini
{Document Root Directory}/wp-content/php.ini
{Document Root Directory}/wp-admin/.htaccess
{Document Root Directory}/wp-includes/.htaccess
{Document Root Directory}/wp-content/.htaccess
{Document Root Directory}/wp-includes/index.php
{Document Root Directory}/components/php.ini
{Document Root Directory}/administrator/php.ini
{Document Root Directory}/libraries/php.ini
{Document Root Directory}/components/.htaccess
{Document Root Directory}/administrator/.htaccess
{Document Root Directory}/libraries/.htaccess
{Document Root Directory}/php.ini
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-acl-list
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidlist
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity.5e196afc
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.index.log
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.list.index.log
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.mailbox.log
/home/{username}/mail/{server name}/smtpfox-{random}/maildirsize
/home/{username}/mail/{server name}/smtpfox-{random}/subscriptions

Die Malware-/Grayware-/Spyware-Datei löschen:

Klicken Sie mit der rechten Maustaste auf Start und dann je nach Windows Version auf Suchen... oder Finden....
Geben Sie in das Feld Name Folgendes ein:

{Document Root Directory}/wp-admin/{random string}.php
{Document Root Directory}/wp-includes/{random string}.php
{Document Root Directory}/wp-content/{random string}.php
{Document Root Directory}/components/{random}.php
{Document Root Directory}/administrator/{random}.php
{Document Root Directory}/libraries/{random}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/{random string}.php
{Document Root Directory}/wp-admin/php.ini
{Document Root Directory}/wp-includes/php.ini
{Document Root Directory}/wp-content/php.ini
{Document Root Directory}/wp-admin/.htaccess
{Document Root Directory}/wp-includes/.htaccess
{Document Root Directory}/wp-content/.htaccess
{Document Root Directory}/wp-includes/index.php
{Document Root Directory}/components/php.ini
{Document Root Directory}/administrator/php.ini
{Document Root Directory}/libraries/php.ini
{Document Root Directory}/components/.htaccess
{Document Root Directory}/administrator/.htaccess
{Document Root Directory}/libraries/.htaccess
{Document Root Directory}/php.ini
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-acl-list
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidlist
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot-uidvalidity.5e196afc
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.index.log
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.list.index.log
/home/{username}/mail/{server name}/smtpfox-{random}/dovecot.mailbox.log
/home/{username}/mail/{server name}/smtpfox-{random}/maildirsize
/home/{username}/mail/{server name}/smtpfox-{random}/subscriptions
Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.

Step 4

Diesen Ordner suchen und löschen

[ learnMore ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

/home/{username}/mail/{server name}/smtpfox-{random}
/home/{username}/mail/{server name}/smtpfox-{random}/.Archive
/home/{username}/mail/{server name}/smtpfox-{random}/.Drafts
/home/{username}/mail/{server name}/smtpfox-{random}/.Sent
/home/{username}/mail/{server name}/smtpfox-{random}/.spam
/home/{username}/mail/{server name}/smtpfox-{random}/.Trash
/home/{username}/mail/{server name}/smtpfox-{random}/cur
/home/{username}/mail/{server name}/smtpfox-{random}/new
/home/{username}/mail/{server name}/smtpfox-{random}/tmp

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Backdoor.PHP.DEFACER.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 6

Restore this file from backup only Microsoft-related files will be restored. If this malware/grayware also deleted files related to programs that are not from Microsoft, please reinstall those programs on you computer again.

/home/{username}/.contactemail
/home/{username}/.cpanel/contactinfo
/home/{username}/etc/{server name}/shadow
/home/{username}/etc/shadow

Participez à notre enquête!

Backdoor.PHP.DEFACER.B

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Backdoor.PHP.DEFACER.B

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique