BACKDOOR.MSIL.BLACKWORM.THABAGAH

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• C:\Users\{Username}\Dropbox\cagohack.exe -> if Dropbox folder exists
• %User Temp%\Microsoft\svchost.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のファイルを作成します。

• %User Temp%\BlackData.dat - (check if cagohack.exe is running)

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• ZhYmK@LHzYUg#9g

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ef781910bc5e8aab3761591acadf8bb6 = %User Temp%\Microsoft\svchost.exe

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\svchost.exe

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

感染活動

マルウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Drive Letter}\cagohack.exe

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• ping - use to check the status of the victim
• CloseServer - terminates the application
• RestartServer - Restart the application
• sendfile - send file and execute
• download - download file from URL and execute
• UDP - ping flood target
• startSlowloris - Start Slowloris DDoS
• stopSlowloris - Stop Slowloris DDos
• OpenPage - Open URL
• BlockPage - adds the URL in the "C:\WINDOWS\system32\drivers\etc\hosts to block specified website by pointing the resolution to 127.0.0.1
• Logoff - Logout windows
• Restart - Restart System
• Shutdown - Shutdown System
• keystart - keylogging
• keydump - send logs of keystrokes
• getpass - get password
• getdesktop - get desktop screenshot
• custom - saving arbitrary file to temp folder
• execscrip - execute script
• transfer - Change Port and Host
• startransom - start ransomware
• stopransom - stop ransomware
• elevate - elevate privelages
• update - update itself
• uninstall - uninstall itself

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.01:5050

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• procexp
• SbieCtrl
• SpyTheSpy
• SpeedGear
• wireshark
• mbam
• apateDNS
• IPBlocker
• cports
• ProcessHacker
• KeyScrambler
• TiGeR-Firewall
• Tcpview
• xn5x
• smsniff
• exeinfoPE
• regshot
• RougeKiller
• NetSnifferCs
• taskmgr
• Reflector
• capsa
• NetworkMiner
• AdvancedProcessController
• ProcessLassoLauncher
• ProcessLasso
• SystemExplorer
• ApateDNS
• Malwarebytes Anti-Malware
• TCPEye
• SmartSniff
• Active Ports
• ProcessEye
• MKN TaskExplorer
• CurrPorts
• SystemExplorer
• DiamondCS Port Explorer
• VirusTotal
• Metascan Online
• Speed Gear
• The Wireshark Network Analyzer
• Sandboxie Control
• ApateDNS
• .NET Reflector