Backdoor.Win32.REMCOS.USMANEAGFM

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• C:\h0592a4209

マルウェアは、以下のファイルを作成します。

• %System Root%\h0592a4209\tfngic.vbe
• %System Root%\h0592a4209\bcinm.exe
• %System Root%\h0592a4209\wohu.docx
• %System Root%\h0592a4209\tunmjt.exe
• %System Root%\h0592a4209\xuiap.msc
• %System Root%\h0592a4209\sqmmkc.msc
• %System Root%\h0592a4209\hwjakk.nls
• %System Root%\h0592a4209\stxiddoto.dat
• %System Root%\h0592a4209\cdtqu.bin
• %System Root%\h0592a4209\fwmpdwvjhl.ppt
• %System Root%\h0592a4209\uxqqafdp.xls
• %System Root%\h0592a4209\nqenuo.txt
• %System Root%\h0592a4209\ewgdiofgcw.exe
• %System Root%\h0592a4209\olfbxdfii.pdf
• %System Root%\h0592a4209\fpiie.jpg
• %System Root%\h0592a4209\halqjt.txt
• %System Root%\h0592a4209\amfqwhfvux.msc
• %System Root%\h0592a4209\iaiwr.dll
• %System Root%\h0592a4209\wojqxv.ppt
• %System Root%\h0592a4209\trmogsjkkf.txt
• %System Root%\h0592a4209\qjgp.dat
• %System Root%\h0592a4209\gawiwnati.msc
• %System Root%\h0592a4209\atgkmdtqdp.icm
• %System Root%\h0592a4209\qbggwcdx.log
• %System Root%\h0592a4209\ojbkpmtwd.exe
• %System Root%\h0592a4209\kcxong.bin
• %System Root%\h0592a4209\rrqgrvbskx.ico
• %System Root%\h0592a4209\run.vbs
• %User Temp%\RegSvcs.exe
• %User Profile%\temp\xhnneaglln.cpl
• %Appplication Data%\{GUID}\task.dat
• %Appplication Data%\{GUID}\catalog.dat
• %Appplication Data%\{GUID}\storage.dat
• %Appplication Data%\{GUID}\settings.bin
• %User Temp%\vggvszg1.gu3
• %User Temp%\pyunns0r.pas
• %User Temp%\hn43doze.kpj
• %User Temp%\asweb2x5.izf

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスを追加します。

• %User Temp%\RegSvcs.exe
• "%System%\WScript.exe" "%System Root%\h0592a4209\run.vbs"
• "%System Root%\h0592a4209\bcinm.exe" bfktrftlnk.ccs
• "schtasks.exe" /create /f /tn "PCI Service" /xml "%User Temp%\tmp4C14.tmp"
• "%Windows%\microsoft.net\framework\{version}\vbc.exe" /shtml "%User Temp%\vggvszg1.gu3"
• "%Windows%\microsoft.net\framework\{version}\vbc.exe" /shtml "%User Temp%\pyunns0r.pas"
• "%Windows%\microsoft.net\framework\{version}\vbc.exe" /shtml "%User Temp%\hn43doze.kpj"
• "%Windows%\microsoft.net\framework\{version}\vbc.exe" /shtml "%User Temp%\asweb2x5.izf"

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = "%System Root%\h0592a4209\bcinm.exe %System Root%\h0592a4209\bfktrftlnk.ccs"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.24.183:54985
• {BLOCKED}.{BLOCKED}.53.136:54985

以下のスケジュールされたタスクを追加します：

• Task Name: PCI Service
• Action: Start Program "%User Temp%\RegSvcs.exe $(Arg0)"

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)