PHP_PBOT.SM
Backdoor:PHP/Hiebot.E(Microsoft), PHP/Pbot.A trojan(ESET), Backdoor.PHP.Pbot.g(Kaspersky), Troj/PHPBot-F(Sophos), Backdoor.PHP.Pbot(Ikarus)
Windows
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。
バックドア活動
マルウェアは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}.{BLOCKED}.144.140:6667
- {BLOCKED}.{BLOCKED}.146.114:6660
マルウェアは、以下のいずれかのIRCチャンネルに接続します。
- #puteri
- #pbot
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- sends an email
- DNS lookup
- Downloads a file
- Executes Shell Command
- Gets system information
- Executes php code
- TCP flood attack
- UDPflood attack
- Executes raw IRC command
- Port scan
- Reports the following information:
- System's OS
- Server Software
- Host Name
- Server Name
その他
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Eメールの送信
- DNS検索
- ファイルのダウンロード
- シェルコマンドの実行
- コンピュータ情報の取得
- PHPコードの実行
- TCPフラッド攻撃
- UDPフラッド攻撃
- RAW IRCコードの実行
- ポートスキャン
- 以下の情報の送信
- コンピュータのオペレーティングシステム(OS)
- サーバソフトウェア
- ホスト名
- サーバ名
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PHP_PBOT.SM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください