Trend Micro Security

PHP_WEBSHELL.AGNV

2017年3月1日
 解析者: Warren Adam Sto. Tomas   
 別名:

HEUR:Backdoor.PHP.PhpShell.eg(Kaspersky); Backdoor.PHP.Webshell.EB(BitDefender)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、感染コンピュータから特定の情報を収集します。

  詳細

ファイルサイズ 223,978 bytes
タイプ Script
メモリ常駐 なし
発見日 2012年2月17日
ペイロード ウインドウの表示, プロセスの強制終了

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute cmd commands
  • Terminate process
  • File/folder related commands:
    • View file
    • Edit file
    • Rename file
    • Download file
    • Upload file
    • Copy File
    • Paste file
    • Search file
    • Delete file
    • Create file
    • Change file mode
    • Change file owner
    • Change file accessed and modified time
    • Extract file (.tar, .tar.gz, .zip)
    • Compress file (.tar, tar.gz, .zip)

情報漏えい

マルウェアは、感染コンピュータから以下の情報を収集します。

  • IP address
  • Server IP address
  • Time in server
  • Computer name
  • Operating System
  • Machine type
  • Drives available
  • Drive free space
  • Drive total space
  • Versions of the following:
    • PHP
    • Python
    • Perl
    • Ruby
    • Node
    • Nodejs
    • GNU Compiler Collection
    • Java
    • Javac
  • PHP General Info
  • PHP Configuration
  • PHP Modules
  • PHP Environment
  • PHP Variables
  • If the following servers are turned on:
    • MYSQL
    • MSSQL
    • PostGreSQL
    • Oracle
    • SQLite
    • SQLite3
    • Open Database Connectivity
    • PHP Data Objects
  • It gets the following information if the Operating System is not Windows:
    • System File Configuration
    • CPU
    • Memory
    • Partition
  • Complete file directory for all available disk drives(from A: to Z:) including:
    • File name
    • Size
    • File permissions
    • Date modified
  • List of active processes including:
    • Image name
    • Process ID
    • Session name
    • Session number
    • Memory usage
    • Status
    • User name
    • CPU time
    • Window title

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.226.05
初回 VSAPI パターンリリース日 2017年2月17日
VSAPI OPR パターンバージョン 13.227.00
VSAPI OPR パターンリリース日 2017年2月18日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PHP_WEBSHELL.AGNV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください