Backdoor.Java.ADWIND.USMGBFBY

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\_.0{Random Numbers}.class
• %User Temp%\hsperfdata_{username}\{process ID} -> contains details of the malware
• %ProgramData%\Oracle\Java\.oracle_jre_usage\4b2fb7921108293.timestamp -> time usage of oracle
• %User Temp%\Retrive{random numbers}.vbs -> script to detect installed AV security and firewall products (deleted after execution)
• %User Profile%\fUTkALeaTxM\ID.txt -> contains UUID
• %System%\test.txt -> used to check for admin rights

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8の場合、通常 "C:\ProgramData" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\{Random Characters}\{11 Random Characters}.{6 Random Characters}

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスを追加します。

• xcopy "%Program Files%\Java\jre{version}" "%Application Data%\Oracle\" /e -> copy files and directory trees of Java Installation folder to %Application Data%\Oracle folder
• attrib +h "%User Profile%\{random characters}\*.*" -> set attribute of all files under the folder to hidden
• attrib +h "%User Profile%\{random characters}" -> set attribute of folder to hidden

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Oracle
• %User Profile%\fUTkALeaTxM
• %User Profile%\{Random Characters}

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{11 Random Characters} = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\{Random Characters}\{11 Random Characters}.{6 Random Characters}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• copy arbitrary files
• read arbitrary files
• run arbitrary files
• run arbitrary jar files
• run arbitrary shell commands
• sleep command
• queries arbitrary registry entries
• change the owner and permissions of the user folder for unix related OS
• creation of vbs script
• execute created scripts

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.152.103:2556

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• acs.exe
• AdAwareDesktop.exe
• AdAwareService.exe
• AdAwareTray.exe
• AgentSvc.exe
• av_task.exe
• AVK.exe
• AVKProxy.exe
• AVKService.exe
• AVKTray.exe
• AVKWCtlx64.exe
• avpmapp.exe
• Bav.exe
• bavhm.exe
• BavSvc.exe
• BavTray.exe
• BavUpdater.exe
• BavWebClient.exe
• BDSSVC.EXE
• BgScan.exe
• BullGuard.exe
• BullGuardBhvScanner.exe
• BullGuardUpdate.exe
• BullGuarScanner.exe
• capinfos.exe
• cavwp.exe
• CertReg.exe
• cis.exe
• CisTray.exe
• clamscan.exe
• ClamTray.exe
• ClamWin.exe
• cmdagent.exe
• ConfigSecurityPolicy.exe
• CONSCTLX.EXE
• coreFrameworkHost.exe
• coreServiceShell.exe
• dragon_updater.exe
• dumpcap.exe
• econceal.exe
• econser.exe
• editcap.exe
• EMLPROXY.EXE
• escanmon.exe
• escanpro.exe
• fcappdb.exe
• FCDBlog.exe
• FCHelper64.exe
• FilMsg.exe
• FilUp.exe
• filwscc.exe
• fmon.exe
• FortiClient.exe
• FortiClient_Diagnostic_Tool.exe
• FortiESNAC.exe
• FortiFW.exe
• FortiProxy.exe
• FortiSSLVPNdaemon.exe
• FortiTray.exe
• FPAVServer.exe
• FProtTray.exe
• FPWin.exe
• freshclam.exe
• freshclamwrap.exe
• fsgk32.exe
• FSHDLL64.exe
• fshoster32.exe
• FSM32.EXE
• FSMA32.EXE
• fsorsp.exe
• fssm32.exe
• GdBgInx64.exe
• GDKBFltExe32.exe
• GDSC.exe
• GDScan.exe
• guardxkickoff_x64.exe
• guardxservice.exe
• iptray.exe
• K7AVScan.exe
• K7CrvSvc.exe
• K7EmlPxy.EXE
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7RTScan.exe
• K7SysMon.Exe
• K7TSecurity.exe
• K7TSMain.exe
• K7TSMngr.exe
• LittleHook.exe
• mbam.exe
• mbamscheduler.exe
• mbamservice.exe
• MCShieldCCC.exe
• MCShieldDS.exe
• MCShieldRTM.exe
• MCS-Uninstall.exe
• mergecap.exe
• MpCmdRun.exe
• MpUXSrv.exe
• MSASCui.exe
• MsMpEng.exe
• MWAGENT.EXE
• MWASER.EXE
• nanoav.exe
• nanosvc.exe
• nbrowser.exe
• nfservice.exe
• NisSrv.exe
• njeeves2.exe
• nnf.exe
• nprosec.exe
• NS.exe
• nseupdatesvc.exe
• nvcod.exe
• nvcsvc.exe
• nvoy.exe
• nwscmon.exe
• ONLINENT.EXE
• op_mon.exe
• OPSSVC.EXE
• ProcessHacker.exe
• procexp.exe
• PSANHost.exe
• PSUAMain.exe
• PSUAService.exe
• psview.exe
• PtSessionAgent.exe
• PtSvcHost.exe
• PtWatchDog.exe
• quamgr.exe
• QUHLPSVC.EXE
• rawshark.exe
• SAPISSVC.EXE
• SASCore64.exe
• SASTask.exe
• SBAMSvc.exe
• SBAMTray.exe
• SBPIMSvc.exe
• SCANNER.EXE
• SCANWSCS.EXE
• schmgr.exe
• scproxysrv.exe
• ScSecSvc.exe
• SDFSSvc.exe
• SDScan.exe
• SDTray.exe
• SDWelcome.exe
• SSUpdate64.exe
• SUPERAntiSpyware.exe
• SUPERDelete.exe
• text2pcap.exe
• TRAYICOS.EXE
• TRAYSSER.EXE
• trigger.exe
• tshark.exe
• twsscan.exe
• twssrv.exe
• uiSeAgnt.exe
• uiUpdateTray.exe
• uiWatchDog.exe
• uiWinMgr.exe
• UnThreat.exe
• UserReg.exe
• utsvc.exe
• V3Main.exe
• V3Medic.exe
• V3Proxy.exe
• V3SP.exe
• V3Svc.exe
• V3Up.exe
• VIEWTCP.EXE
• VIPREUI.exe
• virusutilities.exe
• WebCompanion.exe
• wireshark.exe
• Zanda.exe
• Zlh.exe
• zlhh.exe