Backdoor.MSIL.PLASMA.AB

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• With Admin rights:
  • %System%\Paypal
• Without Admin rights:
  • %ProgramData%\Paypal

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 4919245

他のシステム変更

マルウェアは、以下のファイルを削除します。

• {Executable path}:Zone Identifier

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• zeykoo.{BLOCKED}o.org:3389

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• RECONNECT: restarts connection
• seed: seeds torrent using one of the following clients
  • Vuse
  • BitTorrent
  • uTorrent
• miner.start: downloads, installs a miner and starts mining by injecting into one of the following processes
  • cvtres.exe
  • vbc.exe
  • csc.exe
  • ngen.exe
• miner.stop: terminates the miner
• miner.gpu.start: if not windows XP: downloads, installs a miner and starts GPU mining by injecting into one of the following processes
  • csc.exe
  • vbc.exe
• miner.reset: resets the miner
• miner.gpu.stop: terminates the gpu miner
• FileManager:
  • keylogger.send: uploads keylogs
  • keylogger.delete: empties keylogs file
  • keylogger.search: searches for specific string in the logger and uploads when found
  • download: downloads and executes a file
  • updatebot: updates the bot
  • visit: visits a specified website
  • ddos.slowloris.start: starts Slowloris DDOS attack on a specified host
  • ddos.arme.start: starts arme DDOS attack on a specified host
  • ddos.posthttp.start: starts post http DDOS attack on a specified host
  • ddos.httpget.start: starts get http DDOS attack on a specified host
  • ddos.bwflood.start: starts BW DDOS attack on a specified host
  • ddos.udp.start: starts UDP flood DDOS attack on a specified host
  • ddos.condis.start: starts Condis DDOS attack on a specified host
  • host: adds a host
  • .avdetails: gathers and uploads AVdetails and Firewall details
  • ftp: gathers and uploads ftp data connections
  • browsers: gathers and uploads login credentials
  • info: gathers and uploads executable path details
  • pcspecs: gathers and uploads CPU, GPU, RAM details
  • shells: executes a shell commands
  • removebot: uninstalls itself in the system
• mute: toggle mute flag
• inject:
  • reflect: injects code to itself
  • runpe: injects code to vbc.exe
• .stop:
  • udp: stops UDP flood DDOS attack
  • arme: stops arme DDOS attack
  • slowloris: stops slowloris DDOS attack
  • httpget: stops get http DDOS attack
  • bwflood: stops BW DDOS attack
  • posthttp: stops post DDOS attack
  • condiss: stops condis DDOS attack
• botkiller:
  • hardbk: modifies the permissions of the following and its contents
  • HKEY_Current_User\software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_Current_User\software\Microsoft\Windows\CurrentVersion\RunOnce
  • %UserStartup%
  • enable: enables hardbk proactively
  • disable: disables hardbk proactively
  • run: flag to terminate processes and modify startup items

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• arcavir
• avast
• avg
• avira
• bkav
• bullguard
• emsisoft
• anti-malware
• eset
• nod32
• f-prot
• f-secure
• gdata
• ikarus
• k7
• kaspersky
• lavasoft
• adaware
• malwarebytes
• mcafee
• security
• norman
• norton
• outpost
• panda
• firewall
• antivirus
• antimalware
• antispyware
• anti-spyware
• rising
• sophos
• trend
• vipre
• webroot
• defender
• zomealarm
• comodo
• agnitum
• ahnlab
• antiy
• bytehero
• quickheal
• clamav
• commtouch
• drweb
• fortinet
• jiangmin
• kingsoft
• microworld
• nano
• nprotect
• pctools
• symantec
• thehacker
• totaldefense
• trendmicro
• vba32
• checkpoint
• tuneup
• spybot
• iobit
• keyscrambler
• zoner
• vipre
• virusbuster
• virus
• nano
• immunet
• antivirus
• solo
• escan
• combofix
• hijackthis
• onlinescanner
• roguekiller
• spybot
• blacksheep

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

• %Application Data%\DllHost.ini

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\VB abd VBA Program Settings\
Microsoft\Sysinternals
PROCID = {random number between 1000 and 9999}

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の仮想環境やサンドボックスに関連したモジュールが感染コンピュータ内に存在していないかを確認します。

• virtual
• vmware
• parallels
• vm additions