Backdoor.VBS.ASYNCRAT.B

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• %User Temp%\{Random}

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のファイルを作成します。

• %User Temp%\Good.xml → Uncompiled Loader.
• %User Temp%\{Random}\{Random}.dll → Compiled Loader.
• %User Temp%\{Random}\{Random}.tmp
• %User Temp%\{Random}\{Random}.0.cs
• %User Temp%\{Random}\{Random}.cmdline
• %User Temp%\{Random}\{Random}.out
• %User Temp%\{Random}\{Random}.err
• %User Temp%\{Random}\{Random}.pdb
• %User Temp%\RES{4 Characters}.tmp
• %User Temp%\CSC{4 Characters}.tmp

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• %Windows%\Microsoft.NET\Framework\{version}\MSBuild.exe %User Temp%\Good.xml
• %Windows%\Microsoft.NET\Framework\{version}\csc.exe /noconfig /fullpaths @"%User Temp%\{Random}\{Random}.cmdline"
• %Windows%\Microsoft.NET\Framework\{version}\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 %User Temp%\RES{4 Characters}.tmp %User Temp%\CSC{4 Characters}.tmp
• %Windows%\Microsoft.NET\Framework\{version}\RegSvcs.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• AsyncMutex_6SI8OkPnk

マルウェアは、以下のプロセスにコードを組み込みます。

• %Windows%\Microsoft.NET\Framework\{version}\RegSvcs.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

• %User Startup%\Startup.vbs → Script to compile Loader.

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のフォルダを削除します。

• %User Temp%\{Random} → After use with contents.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Ping Test
• Execute Sent Plugin

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}daddy.ddns.net:5946

情報漏えい

トロイの木馬化されたアプリケーションが実行されると、[Malware]は、以下の情報を収集します。

• Hardware ID generated from processor count, username, computer name, OS version, and total size of the system directory
• Username
• Operating System and Architecture
• Current File Path of Malware
• Current Malware Version
• IsAdmin
• Active Window Title
• Installed Antivirus Products
• Installation Time