解析者: Clive Fuentebella   
 別名:

N/A

 プラットフォーム:

Windows, Linux, Mac

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    潜在的に迷惑なアプリケーション

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

プログラムは、特定の脆弱性を利用した感染活動を実行します。

  詳細

ファイルサイズ 197,739 bytes
タイプ PHP
メモリ常駐 なし
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • {Malware file path}\{Random}.php

バックドア活動

プログラムは、不正リモートユーザからの以下のコマンドを実行します。

  • Manage file system (create file, read file, query file, move file, delete file, create directory)
  • Execute arbitrary commands (shell commands, PHP commands)
  • Gain root access through Dirty Cow exploit
  • Manage database
  • Zip/unzip files
  • Upload files
  • Get user credentials
  • Reset cPanel passwords
  • Create SMTP/RDP/mailer
  • Brute-force FTP credentials
  • Bind port to shell
  • Change backconnect configuration
  • Remove self
  • Deface index files
  • Configure redirects

ダウンロード活動

プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • https://www.{BLOCKED}r.org/version/?current={Version}
  • https://raw.githubusercontent.com/{BLOCKED}ox-com/0/main/leafmailer2.8.php

プログラムは、以下のファイル名でダウンロードしたファイルを保存します。

  • {Malware file path}\adminer-{Random}.php
  • {Malware file path}\mailer-{Random}.php

情報漏えい

トロイの木馬化されたアプリケーションが実行されると、[Malware]は、以下の情報を収集します。

  • Username
  • User account information
  • Memory information (actual size, size of free space)
  • Server information (loaded modules, phpinfo, server software, account settings)
  • Current working directory and permissions
  • Drives
  • Operating system information
  • IP address

その他

プログラムは、以下の脆弱性を利用して感染活動を実行します。

  • CVE-2016-5195 (Dirty COW)

<補足>
インストール

プログラムは、以下のファイルを作成します。

  • {プログラムのファイルのパス}\{ランダム}.php

バックドア活動

プログラムは、不正リモートユーザからの以下のコマンドを実行します。

  • ファイルシステムの管理(ファイル作成、ファイル読み込み、ファイル問い合わせ、ファイル移動、ファイル削除、ディレクトリ作成)
  • 任意のコマンドの実行 (シェルコマンド、PHPコマンド)
  • Dirty Cowの脆弱性悪用によるルートアクセス権取得
  • データベース管理
  • ファイルのZip/Unzip
  • ファイルのアップロード
  • ユーザ認証情報の取得
  • cPanelパスワードのリセット
  • SMTP/RDP/メーラー作成
  • FTP認証のブルートフォース
  • シェルにポートをバインドする
  • バックコネクトの設定変更
  • 自身の削除
  • インデックスファイルの改ざん
  • リダイレクトの設定

ダウンロード活動

プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • https://www.{BLOCKED}r.org/version/?current={バージョン}
  • https://raw.githubusercontent.com/{BLOCKED}ox-com/0/main/leafmailer2.8.php

プログラムは、以下のファイル名でダウンロードしたファイルを保存します。

  • {プログラムのファイルのパス}\adminer-{ランダム}.php
  • {プログラムのファイルのパス}\mailer-{ランダム}.php

情報漏えい

トロイの木馬化されたアプリケーションが実行されると、プログラムは、以下の情報を収集します。

  • ユーザ名
  • ユーザアカウント情報
  • メモリ情報(実容量、空き容量)
  • サーバ情報(ロードされたモジュール、phpinfo、サーバソフトウェア、アカウント設定)
  • 現在の作業ディレクトリとパーミッション
  • ドライブ
  • オペレーティングシステム(OS)情報
  • IPアドレス

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.467.00
SSAPI パターンリリース日: 2021年12月2日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Malware file path}\adminer-{Random}.php
  • {Malware file path}\mailer-{Random}.php
  • {Malware file path}\{Random}.php

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.PHP.AFoxTest.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください