Backdoor.Win32.BIFROSE.AD
a variant of Win32/Spy.KeyLogger.NUA trojan (NOD32); Keylog-FCO!FB6F9692A7E8 (NAI); Mal/Keylog-A (SOPHOS_LITE)
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
マルウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。 マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\win9809.dat -> encrypted file containing keylogged data
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Get Idle Time
- Upload contents of %User Temp%\win9809.dat containing encrypted keylogger-related logs
- Delete %User Temp%\win9809.dat
- Gather Drives' (A-Z) Information
- Find File
- Create Component file %User Temp%\werfc0908.dat
- Write to Component file %User Temp%\werfc0908.dat
- Upload File
- Create Process
- Create Directory
- Delete File
- Delete Directory
- Execute Command using ShellExecute
- Rename File
- Enumerate all Windows' Names
- Set foreground window
- Hide Window
- Change a window's Title Bar
- Send input/keystrokes to window
- Take Screenshot
- Get Current Display Resolution
- Send Mouse Input
- Get Processes' File Name
- Terminate Process
- Uninstall Self
- Read Data from Pipe Connection
- Write to File
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}.{BLOCKED}.92.110:443
ただし、情報公開日現在、このWebサイトにはアクセスできません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
ダウンロード活動
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\werfc0908.dat -> encrypted component file loaded by the malware. Detected as Trojan.Win32.BIFROSE.AA
情報漏えい
マルウェアは、以下の情報を収集します。
- Computer Name
- User Name
- IPv4 Address
- Current Process ID
- Volume Information
- Locale Info
- Keyboard Layout Name
- If %User Temp%\werfc0908.dat is loaded, passwords/credentials for the following:
- Passport.net
- MSN Messenger
- Messenger Service
- Mirabilis ICQ
- Mozilla Firefox Signons and User Profiles
- Cached Passwords (Windows for Workgroups)
- Folder Paths of the following:
- %Application Data%\Microsoft\Windows\Recent
- %Desktop%
- %User Profile%\Documents
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)
マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
その他
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\win9809.dat → キーロガーを用いて収集されたデータを含む暗号化されたファイル
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- アイドル時間の取得
- 暗号化されたキーロガー関連のログを含む%User Temp%\ win9809.datのコンテンツのアップロード
- %User Temp%\win9809.datの削除
- AからZドライブの情報収集
- ファイルの検索
- コンポーネントファイル「%User Temp%\ werfc0908.dat」の作成
- コンポーネントファイル「%User Temp%\werfc0908.dat」への書き込み
- ファイルのアップロード
- プロセスの作成
- ディレクトリの作成
- ファイルの削除
- ディレクトリの削除
- ShellExecuteを使用してコマンドの実行
- ファイル名の変更
- すべてのウィンドウ名の列挙
- ウィンドウの前面表示設定
- ウィンドウを隠す
- ウィンドウのタイトルバーの変更
- 入力/キー入力操作情報をウィンドウに送信
- スクリーンショットの取得
- 現在のディスプレイ解像度の取得
- マウス入力の送信
- プロセスのファイル名の取得
- プロセスの終了
- 自身のアンインストール
- パイプ接続からデータの読み取り
- ファイルへの書き込み
ダウンロード活動
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\werfc0908.dat → マルウェアによって読み込まれる暗号化されたコンポーネントファイル。Trojan.Win32.BIFROSE.AAとして検出
情報漏えい
マルウェアは、以下の情報を収集します。
- コンピュータ名
- ユーザ名
- IPv4アドレス
- カレントプロセスID
- ボリューム情報
- ロケール情報
- キーボードレイアウトの名称
- %User Temp%\werfc0908.datが読み込まれた場合、以下のパスワード/認証情報を対象とします:
- Passport.net
- MSN Messenger
- Messenger Service
- Mirabilis ICQ
- Mozilla Firefox Signons and User Profiles
- Cached Passwords (Windows for Workgroups)
- 以下のフォルダパス:
- %Application Data%\Microsoft\Windows\Recent
- %Desktop%
- %User Profile%\Documents
マルウェアは、以下のプロセスの存在を確認します。
- 以下のプロセスの部分文字列が実行中であることを確認した場合、接続を行いません。
- TCPVIEW
- ICESWORD
- CPORT
- WIRESHARK
- NETSTAT
- ETHERAL
注意:
マルウェアは、以下のWebサイトに接続することで、プロキシ接続を使用します。
プロトコル「HTTP」が使用される以下のレジストリエントリから収集されたプロキシサーバ:
- HKEY_USERS\{ユーザのSID}\Software\Microsoft\Windows\CurrentVersion\Internet Settings 内
- ProxyServer = "{サーバ名}"
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF035
手順 2
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Backdoor.Win32.BIFROSE.AD」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
以下のファイルを検索し削除します。
- %User Temp%\win9809.tmp
- %User Temp%\werfc0908.dat
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Win32.BIFROSE.AD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください