解析者: Maria Emreen Viray   

 別名:

Backdoor.PHP.WebShell.gd (KASPERSKY)

 プラットフォーム:

Windows, Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 159,795 bytes
タイプ PHP
メモリ常駐 なし
発見日 2020年10月27日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute arbitrary commands
  • Execute specific command line commands
  • Execute port scanning
  • Download files from specified URL
  • Steal information specified in gathered data
  • Execute SQL commands
  • Create reverse shell
  • Download files through FTP
  • Brute force database credentials
  • Add user accounts
  • Inject code into specific files
  • XOR encode strings
  • Manage files (create directory, create files, delete, query)
  • Manage registry entries (create, delete)
  • Upload/download files

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • Server Time Started
  • Server domain name
  • Server IP Address
  • Server OS text encoding
  • Server Engine
  • IP Address of infected machine
  • Web Service Port
  • File Path
  • Server Admin
  • Disk free space
  • Existence of/Ability to do the following in the server:
    • Allow file to be opened using URL
    • Allows dynamic loading of linked libraries
    • Display error message
    • Automatically define register_globals in global variables
    • magic_quotes_gpc
    • max memory allowed by program
    • memory_limit POST max bytes
    • max allowed upload file size
    • max running time of program
    • phpinfo() function
    • Graphics processing GD Library
    • IMAP email system
    • MySQL database
    • SyBase database
    • Oracle database
    • Oracle 8 database
    • PREL compatible syntax PCRE
    • PDF document support
    • Postgre SQL database SNMP
    • Network Management protocol
    • Zlib/Compressed file support
    • xML analysis
    • FTP
    • ODBC database connection
    • Session support
    • Socket Support

その他

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、自身の不正活動を実行するために、Webサーバにホストされている必要があります。

マルウェアは、以下を実行します。

  • ユーザがアクセスするためには、以下のパスワードが必要です。
    • YGHFK
  • 与えられたバックドアコマンドのプレースホルダーとして、以下のURLとファイルを使用します。
    • コードインジェクションに使用されるURL
      • http://{BLOCKED}bap.org/ad.js?{ランダムな6文字}
    • 指定されたURLからファイルをダウンロードするURL
      • http://{BLOCKED}bap.org/a.exe (ファイルを{PHP環境変数__FILE__が指すディレクトリ}として保存)
    • 「FTPによるファイルのダウンロード」で使用したFTPサーバ
      • {BLOCKED}.{BLOCKED}.222.1(ファイルはC:\silic.exeとして保存される)
    • 文字列のXORエンコードに使用した文字列用のURL
      • http://{BLOCKED}bap.org/hello.exe

<補足>
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • 任意のコマンドの実行
  • 特定のコマンドラインコマンドの実行
  • ポートスキャンの実行
  • 指定されたURLからファイルをダウンロード
  • 収集したデータから特定の情報を窃取
  • SQLコマンドの実行
  • リバースシェルの作成
  • FTPによるファイルのダウンロード
  • ブルートフォースによるデータベース認証
  • ユーザアカウントの追加
  • 特定のファイルへのコードの注入
  • 文字列のXORエンコード
  • ファイルの管理(ディレクトリの作成、ファイルの作成、削除、問い合わせ)
  • レジストリエントリの管理(作成、削除)
  • ファイルのアップロード/ダウンロード

情報漏えい

このバックドアは以下のデータを収集します。

  • サーバの開始時刻
  • サーバのドメイン名
  • サーバのIPアドレス
  • サーバOSのテキストエンコーディング
  • サーバエンジン
  • 感染コンピュータのIPアドレス
  • Webサービスポート
  • ファイルパス
  • サーバ管理者
  • ディスクの空き容量
  • サーバにおける以下の機能および能力の有無
    • URLでファイルを開くことができる
    • リンクされたライブラリの動的読み込みを許可することができる
    • エラーメッセージの表示
    • グローバル変数に register_globals を自動的に定義する
    • マジッククオート_GPC
    • プログラムが許容する最大メモリ
    • memory_limit POSTの最大バイト数
    • アップロード可能なファイルの最大サイズ
    • プログラムの最大実行時間
    • phpinfo()関数
    • グラフィックス処理 GDライブラリ
    • IMAPメールシステム
    • MySQLデータベース
    • SyBaseデータベース
    • Oracleデータベース
    • オラクル8データベース
    • PREL互換構文 PCRE
    • PDFドキュメントサポート
    • Postgre SQL データベース SNMP
    • ネットワーク管理プロトコル
    • Zlib/Compressed file サポート
    • xML解析
    • FTP
    • ODBCデータベース接続
    • セッション対応
    • ソケット対応

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.240.04
初回 VSAPI パターンリリース日 2021年12月8日
VSAPI OPR パターンバージョン 17.241.00
VSAPI OPR パターンリリース日 2021年12月9日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • {Directory pointed by __FILE__ PHP environment variable}\a.exe
  • C:\silic.exe

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.PHP.WEBSHELL.SBGIFLD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください