Trend Micro Security

Backdoor.ASP.WEBSHELL.X

2024年6月4日
 解析者: Raymart Christian Yambot   
 別名:

Backdoor.Asp.Webshell.K (BITDEFENDER)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 47,360 bytes
タイプ ASP
メモリ常駐 なし
発見日 2024年5月22日
ペイロード システム情報の収集, URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute Arbitrary commands
  • Execute SQL commands
  • Browse files and directories on the web server.
  • Upload files to the server.
  • Download files from the server.
  • Create new files and directories.
  • Edit existing files.
  • Delete files and directories.
  • Change file attributes (read-only, hidden, system, archive).

情報漏えい

マルウェアは、以下の情報を収集します。

  • Server IP address
  • Machine name
  • Network name
  • Running user's name
  • Operating system version
  • Server uptime and current time
  • IIS (web server) version
  • HTTPS status
  • Request paths
  • Server port
  • Session ID

その他

マルウェアは、以下を実行します。

  • It receives arbitrary commands passed through its request parameter.
  • It requires login credential to access its functionalities.
  • It navigates to the specified website when the 'lake' hyperlink is clicked.
    • http://{BLOCKED}2.0x54.org

<補足>
<>bバックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • 任意のコマンドの実行
  • SQLコマンドの実行
  • Web サーバ上のファイルおよびディレクトリの参照
  • サーバにファイルのアップロード
  • サーバからファイルのダウンロード
  • 新しいファイルおよびディレクトリの作成
  • 既存のファイルの編集
  • ファイルおよびディレクトリの削除
  • ファイル属性(読み取り専用属性、隠しファイル属性、システムファイル属性、アーカイブ属性)の変更

情報漏えい

マルウェアは、以下の情報を収集します。

  • サーバのIPアドレス
  • コンピュータ名
  • ネットワーク名
  • 実行しているユーザ名
  • オペレーティング・システム(OS)のバージョン
  • サーバの稼働時間および現在時刻
  • IIS(Web サーバ)のバージョン
  • HTTPSステータス
  • リクエストパス
  • サーバのポート
  • セッションID

その他

マルウェアは、以下を実行します。

  • 自身のリクエストパラメータを通じて渡された任意のコマンドを受信します。
  • 自身の機能にアクセスするにログイン認証情報が必要となります。
  • ハイパーリンク「lake」がクリックされた場合、マルウェアは、指定された Webサイトに誘導します。
  • http://{BLOCKED}2.0x54.org

      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 19.374.04
    初回 VSAPI パターンリリース日 2024年5月31日
    VSAPI OPR パターンバージョン 19.375.00
    VSAPI OPR パターンリリース日 2024年6月1日

    手順 1

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.ASP.WEBSHELL.X」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください