Trend Micro Security

PHP_WEBSHELL.YWD

2017年1月6日
 解析者: Julie Anne Cabuhat   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、感染コンピュータから特定の情報を収集します。

これは、トレンドマイクロの製品では、不正なスクリプトを含むファイルの検出名です。

  詳細

ファイルサイズ 102,198 bytes
タイプ Script
メモリ常駐 なし
発見日 2016年12月1日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute cmd commands
  • Execute Files
  • Delete File
  • Upload File
  • Download File
  • Edit File
  • View File
  • Rename File
  • Change File Permission
  • Create File
  • Create Directories
  • Enable Safe mode
  • Delete itself
  • Terminate itself

情報漏えい

マルウェアは、感染コンピュータから以下の情報を収集します。

  • Computer Name
  • User Name
  • Group Name
  • PHP Version
  • Computer Mode (Safe Mode on or off)
  • IP address
  • Server IP address
  • Hard Drive Total Space
  • Hard Drive Free Space
  • Operating System
  • Downloader being used
  • Disabled Functions
  • PHP Configuration
  • Disk Drives present
  • Servers present
  • Display information located on symlink file (For Linux)
  • If the following servers are turned on:
    • cURL
    • MySQL
    • MSSQL
    • PostgreSQL
    • Oracle
  • Directories of the following (For Linux):
    • Open_basedir
    • Safe_mode_exec_dir
    • Safe_mode_include_dir
  • Complete file directory for all disk drives including:
    • File Name
    • File size
    • Last modified date
    • Number of Owners/Group
    • File Permissions
  • The following System Information:
    • Host Name
    • OS Name
    • OS Version
    • OS Manufacturer
    • OS Configuration
    • OS Build Type
    • Registered Owner
    • Registered Organization
    • Product ID
    • Original Install Date
    • System Boot Time
    • System Manufacturer
    • System Model
    • System Type
    • Processor(s)
    • BIOS Version
    • Windows Directory
    • System Directory
    • Boot Device
    • System Locale
    • Input Locale
    • Time Zone
    • Total Physical Memory
    • Available Physical Memory
    • Virtual Memory Max Size
    • Virtual Memory Available
    • Virtual Memory In Use
    • Page File Location(s)
    • Domain
    • Logon Server
    • Hotfix(s)
    • Network Card(s)
  • Running Windows Services in infected machine
  • User accounts in infected machine
  • ARP Table of the infected machine
  • IP Configuration of the infected machine

その他

これは、トレンドマイクロの製品では、不正なスクリプトを含むファイルの検出名です。

  対応方法

対応検索エンジン: 9.800
VSAPI OPR パターンバージョン 13.133.00
VSAPI OPR パターンリリース日 2017年1月3日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PHP_WEBSHELL.YWD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください