PUA.PHP.AFoxTest.A
N/A
Windows, Linux, Mac
マルウェアタイプ:
潜在的に迷惑なアプリケーション
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
プログラムは、特定の脆弱性を利用した感染活動を実行します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- {Malware file path}\{Random}.php
バックドア活動
プログラムは、不正リモートユーザからの以下のコマンドを実行します。
- Manage file system (create file, read file, query file, move file, delete file, create directory)
- Execute arbitrary commands (shell commands, PHP commands)
- Gain root access through Dirty Cow exploit
- Manage database
- Zip/unzip files
- Upload files
- Get user credentials
- Reset cPanel passwords
- Create SMTP/RDP/mailer
- Brute-force FTP credentials
- Bind port to shell
- Change backconnect configuration
- Remove self
- Deface index files
- Configure redirects
ダウンロード活動
プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- https://www.{BLOCKED}r.org/version/?current={Version}
- https://raw.githubusercontent.com/{BLOCKED}ox-com/0/main/leafmailer2.8.php
プログラムは、以下のファイル名でダウンロードしたファイルを保存します。
- {Malware file path}\adminer-{Random}.php
- {Malware file path}\mailer-{Random}.php
情報漏えい
トロイの木馬化されたアプリケーションが実行されると、[Malware]は、以下の情報を収集します。
- Username
- User account information
- Memory information (actual size, size of free space)
- Server information (loaded modules, phpinfo, server software, account settings)
- Current working directory and permissions
- Drives
- Operating system information
- IP address
その他
プログラムは、以下の脆弱性を利用して感染活動を実行します。
- CVE-2016-5195 (Dirty COW)
<補足>
インストール
プログラムは、以下のファイルを作成します。
- {プログラムのファイルのパス}\{ランダム}.php
バックドア活動
プログラムは、不正リモートユーザからの以下のコマンドを実行します。
- ファイルシステムの管理(ファイル作成、ファイル読み込み、ファイル問い合わせ、ファイル移動、ファイル削除、ディレクトリ作成)
- 任意のコマンドの実行 (シェルコマンド、PHPコマンド)
- Dirty Cowの脆弱性悪用によるルートアクセス権取得
- データベース管理
- ファイルのZip/Unzip
- ファイルのアップロード
- ユーザ認証情報の取得
- cPanelパスワードのリセット
- SMTP/RDP/メーラー作成
- FTP認証のブルートフォース
- シェルにポートをバインドする
- バックコネクトの設定変更
- 自身の削除
- インデックスファイルの改ざん
- リダイレクトの設定
ダウンロード活動
プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- https://www.{BLOCKED}r.org/version/?current={バージョン}
- https://raw.githubusercontent.com/{BLOCKED}ox-com/0/main/leafmailer2.8.php
プログラムは、以下のファイル名でダウンロードしたファイルを保存します。
- {プログラムのファイルのパス}\adminer-{ランダム}.php
- {プログラムのファイルのパス}\mailer-{ランダム}.php
情報漏えい
トロイの木馬化されたアプリケーションが実行されると、プログラムは、以下の情報を収集します。
- ユーザ名
- ユーザアカウント情報
- メモリ情報(実容量、空き容量)
- サーバ情報(ロードされたモジュール、phpinfo、サーバソフトウェア、アカウント設定)
- 現在の作業ディレクトリとパーミッション
- ドライブ
- オペレーティングシステム(OS)情報
- IPアドレス
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
以下のファイルを検索し削除します。
- {Malware file path}\adminer-{Random}.php
- {Malware file path}\mailer-{Random}.php
- {Malware file path}\{Random}.php
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.PHP.AFoxTest.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください