Backdoor.PHP.WEBSHELL.SBGIFLD
Backdoor.PHP.WebShell.gd (KASPERSKY)
Windows, Linux

マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Execute arbitrary commands
- Execute specific command line commands
- Execute port scanning
- Download files from specified URL
- Steal information specified in gathered data
- Execute SQL commands
- Create reverse shell
- Download files through FTP
- Brute force database credentials
- Add user accounts
- Inject code into specific files
- XOR encode strings
- Manage files (create directory, create files, delete, query)
- Manage registry entries (create, delete)
- Upload/download files
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
情報漏えい
マルウェアは、以下の情報を収集します。
- Server Time Started
- Server domain name
- Server IP Address
- Server OS text encoding
- Server Engine
- IP Address of infected machine
- Web Service Port
- File Path
- Server Admin
- Disk free space
- Existence of/Ability to do the following in the server:
- Allow file to be opened using URL
- Allows dynamic loading of linked libraries
- Display error message
- Automatically define register_globals in global variables
- magic_quotes_gpc
- max memory allowed by program
- memory_limit POST max bytes
- max allowed upload file size
- max running time of program
- phpinfo() function
- Graphics processing GD Library
- IMAP email system
- MySQL database
- SyBase database
- Oracle database
- Oracle 8 database
- PREL compatible syntax PCRE
- PDF document support
- Postgre SQL database SNMP
- Network Management protocol
- Zlib/Compressed file support
- xML analysis
- FTP
- ODBC database connection
- Session support
- Socket Support
その他
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、自身の不正活動を実行するために、Webサーバにホストされている必要があります。
マルウェアは、以下を実行します。
- ユーザがアクセスするためには、以下のパスワードが必要です。
- YGHFK
- 与えられたバックドアコマンドのプレースホルダーとして、以下のURLとファイルを使用します。
- コードインジェクションに使用されるURL
- http://{BLOCKED}bap.org/ad.js?{ランダムな6文字}
- 指定されたURLからファイルをダウンロードするURL
- http://{BLOCKED}bap.org/a.exe (ファイルを{PHP環境変数__FILE__が指すディレクトリ}として保存)
- 「FTPによるファイルのダウンロード」で使用したFTPサーバ
- {BLOCKED}.{BLOCKED}.222.1(ファイルはC:\silic.exeとして保存される)
- 文字列のXORエンコードに使用した文字列用のURL
- http://{BLOCKED}bap.org/hello.exe
- コードインジェクションに使用されるURL
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 任意のコマンドの実行
- 特定のコマンドラインコマンドの実行
- ポートスキャンの実行
- 指定されたURLからファイルをダウンロード
- 収集したデータから特定の情報を窃取
- SQLコマンドの実行
- リバースシェルの作成
- FTPによるファイルのダウンロード
- ブルートフォースによるデータベース認証
- ユーザアカウントの追加
- 特定のファイルへのコードの注入
- 文字列のXORエンコード
- ファイルの管理(ディレクトリの作成、ファイルの作成、削除、問い合わせ)
- レジストリエントリの管理(作成、削除)
- ファイルのアップロード/ダウンロード
情報漏えい
このバックドアは以下のデータを収集します。
- サーバの開始時刻
- サーバのドメイン名
- サーバのIPアドレス
- サーバOSのテキストエンコーディング
- サーバエンジン
- 感染コンピュータのIPアドレス
- Webサービスポート
- ファイルパス
- サーバ管理者
- ディスクの空き容量
- サーバにおける以下の機能および能力の有無
- URLでファイルを開くことができる
- リンクされたライブラリの動的読み込みを許可することができる
- エラーメッセージの表示
- グローバル変数に register_globals を自動的に定義する
- マジッククオート_GPC
- プログラムが許容する最大メモリ
- memory_limit POSTの最大バイト数
- アップロード可能なファイルの最大サイズ
- プログラムの最大実行時間
- phpinfo()関数
- グラフィックス処理 GDライブラリ
- IMAPメールシステム
- MySQLデータベース
- SyBaseデータベース
- Oracleデータベース
- オラクル8データベース
- PREL互換構文 PCRE
- PDFドキュメントサポート
- Postgre SQL データベース SNMP
- ネットワーク管理プロトコル
- Zlib/Compressed file サポート
- xML解析
- FTP
- ODBCデータベース接続
- セッション対応
- ソケット対応
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
以下のファイルを検索し削除します。
- {Directory pointed by __FILE__ PHP environment variable}\a.exe
- C:\silic.exe
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.PHP.WEBSHELL.SBGIFLD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください