解析者: Jeffrey Francis Bonaobra   
 別名:

Backdoor.Win32.Parazit.gen (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,752,512 bytes
タイプ Other
メモリ常駐 なし
発見日 2022年7月5日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

  • ollydbg.exe
  • ProcessHacker.exe
  • tcpview.exe
  • autoruns.exe
  • autorunsc.exe
  • filemon.exe
  • procmon.exe
  • regmon.exe
  • procexp.exe
  • idaq.exe
  • idaq64.exe
  • ImmunityDebugger.exe
  • Wireshark.exe
  • dumpcap.exe
  • HookExplorer.exe
  • ImportREC.exe
  • PETools.exe
  • LordPE.exe
  • SysInspector.exe
  • proc_analyzer.exe
  • sysAnalyzer.exe
  • sniff_hit.exe
  • windbg.exe
  • joeboxcontrol.exe
  • joeboxserver.exe
  • joeboxserver.exe
  • ResourceHacker.exe
  • x32dbg.exe
  • x64dbg.exe
  • Fiddler.exe
  • httpdebugger.exe

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.31.192:334
  • {BLOCKED}.{BLOCKED}.180.210:277
  • {BLOCKED}.{BLOCKED}.32.223:101
  • {BLOCKED}.{BLOCKED}.207.229:429
  • {BLOCKED}.{BLOCKED}.155.189:106
  • {BLOCKED}.{BLOCKED}.21.32:209
  • {BLOCKED}.{BLOCKED}.246.165:443
  • {BLOCKED}.{BLOCKED}.188.48:453
  • {BLOCKED}.{BLOCKED}.237.60:276
  • {BLOCKED}.{BLOCKED}.176.20:192
  • {BLOCKED}.{BLOCKED}.17.197:205
  • {BLOCKED}.{BLOCKED}.70.180:294
  • {BLOCKED}.{BLOCKED}.237.140:322
  • {BLOCKED}.{BLOCKED}.86.1:112
  • {BLOCKED}.{BLOCKED}.144.228:382
  • {BLOCKED}.{BLOCKED}.52.84:325
  • {BLOCKED}.{BLOCKED}.39.216:145
  • {BLOCKED}.{BLOCKED}.193.188:443
  • {BLOCKED}.{BLOCKED}.131.60:473
  • {BLOCKED}.{BLOCKED}.253.158:446
  • {BLOCKED}.{BLOCKED}.50.100:112
  • {BLOCKED}.{BLOCKED}.223.37:490
  • {BLOCKED}.{BLOCKED}.233.31:201
  • {BLOCKED}.{BLOCKED}.143.233:420
  • {BLOCKED}.{BLOCKED}.191.236:494
  • {BLOCKED}.{BLOCKED}.186.56:439
  • {BLOCKED}.{BLOCKED}.216.32:343
  • {BLOCKED}.{BLOCKED}.48.208:236
  • {BLOCKED}.{BLOCKED}.3.119:361
  • {BLOCKED}.{BLOCKED}.134.18:127
  • {BLOCKED}.{BLOCKED}.47.138:107
  • {BLOCKED}.{BLOCKED}.121.85:386
  • {BLOCKED}.{BLOCKED}.211.176:399
  • {BLOCKED}.{BLOCKED}.0.114:443
  • {BLOCKED}.{BLOCKED}.58.207:443
  • {BLOCKED}.{BLOCKED}.85.94:435
  • {BLOCKED}.{BLOCKED}.198.159:328
  • {BLOCKED}.{BLOCKED}.115.81:113
  • {BLOCKED}.{BLOCKED}.51.187:443
  • {BLOCKED}.{BLOCKED}.25.58:436
  • {BLOCKED}.{BLOCKED}.150.153:325
  • {BLOCKED}.{BLOCKED}.73.138:108
  • {BLOCKED}.{BLOCKED}.149.227:181
  • {BLOCKED}.{BLOCKED}.15.63:162
  • {BLOCKED}.{BLOCKED}.212.144:443
  • {BLOCKED}.{BLOCKED}.215.157:452
  • {BLOCKED}.{BLOCKED}.21.253:168
  • {BLOCKED}.{BLOCKED}.189.157:262
  • {BLOCKED}.{BLOCKED}.131.73:232
  • {BLOCKED}.{BLOCKED}.252.52:204
  • {BLOCKED}.{BLOCKED}.155.140:158
  • {BLOCKED}.{BLOCKED}.137.82:280
  • {BLOCKED}.{BLOCKED}.50.66:386
  • {BLOCKED}.{BLOCKED}.107.76:481
  • {BLOCKED}.{BLOCKED}.96.39:468
  • {BLOCKED}.{BLOCKED}.56.33:321

その他

マルウェアは、以下を実行します。

  • It hooks APIs of the current process.
  • It terminates itself if it finds the following virtual machine/sandbox file artifacts in the affected system:
    • %System%\drivers\VBoxMouse.sys
    • %System%\drivers\VBoxGuest.sys
    • %System%\drivers\VBoxSF.sys
    • %System%\drivers\VBoxVideo.sys
    • %System%\vboxdisp.dll
    • %System%\vboxhook.dll
    • %System%\vboxmrxnp.dll
    • %System%\vboxogl.dll
    • %System%\vboxoglarrayspu.dll
    • %System%\vboxoglcrutil.dll
    • %System%\vboxoglerrorspu.dll
    • %System%\vboxoglfeedbackspu.dll
    • %System%\vboxoglpackspu.dll
    • %System%\vboxoglpassthroughspu.dll
    • %System%\vboxservice.exe
    • %System%\vboxtray.exe
    • %System%\VBoxControl.exe
    • %System%\drivers\balloon.sys
    • %System%\drivers\netkvm.sys
    • %System%\drivers\pvpanic.sys
    • %System%\drivers\viofs.sys
    • %System%\drivers\viogpudo.sys
    • %System%\drivers\vioinput.sys
    • %System%\drivers\viorng.sys
    • %System%\drivers\vioscsi.sys
    • %System%\drivers\vioser.sys
    • %System%\drivers\viostor.sys
  • It terminates itself if it finds the following virtual machine/sandbox directory artifacts in the affected system:
    • %Program Files%\oracle\virtualbox\guest additions
    • %Program Files%\qemu-ga
    • %Program Files%\SPICE Guest Tools
  • It terminates itself if it finds the following virtual machine/sandbox processes in the affected system's memory:
    • vboxservice.exe
    • vboxtray.exe
    • VMSrvc.exe
    • VMUSrvc.exe
    • qemu-ga.exe
    • vdagent.exe
    • vdservice.exe
    • prl_cc.exe
    • prl_tools.exe
  • It terminates itself if it finds the following virtual machine/sandbox network shares in the affected system:
    • VirtualBox Shared Folders
  • It terminates itself if it finds the following virtual devices in the affected system:
    • \.\VBoxMiniRdrDN
    • \.\VBoxGuest
    • \.\VBoxTrayIPC
    • \.\pipe\VBoxMiniRdDN
    • \.\pipe\VBoxTrayIPC
  • It checks for the following result of a WMI query to the Win32_NTEventLogFile entry to determine if it is being run in a virtual machine or sandbox:
    • vboxvideo
    • VBoxVideoW8
    • VBoxWddm
  • It checks for the following result of a WMI query to the Win32_Bus entry to determine if it is being run in a virtual machine or sandbox:
    • ACPIBus_BUS_0
    • PCI_BUS_0
    • PNP_BUS_0
  • It checks for the following result of a WMI query to the Win32_PnPEntity entry to determine if it is being run in a virtual machine or sandbox:
    • PCI\VEN_80EE&DEV_CAFE
    • 82801FB
    • 82441FX
    • 82371SB
    • OpenHCD
  • It checks for the following result of a WMI query to the Win32_BaseBoard entry to determine if it is being run in a virtual machine or sandbox:
    • VirtualBox
    • Oracle Corporation
  • It checks for the following result of a WMI query to the Win32_PnPDevice entry to determine if it is being run in a virtual machine or sandbox:
    • VBOX
    • VEN_VBOX
  • It checks for the following result of a WMI query to the Win32_ComputerSystem entry to determine if it is being run in a virtual machine or sandbox:
    • VirtualBox
    • HVM domU
    • VMWare
  • It checks for the following result of a WMI query to the Win32_NetworkAdapterConfiguration entry to determine if it is being run in a virtual machine or sandbox:
    • 08:00:27
  • Based on analysis of the codes, this malware has the following capabilities:
    • Interprets the following messages as its backdoor commands:
      • shi/dij - inject malicious code into one the following target processes:
        • C:\Program Files\Windows Photo Viewer\ImagingDevices.exe
        • C:\Program Files\Windows Mail\wab.exe
        • C:\Program Files\Windows Mail\wabmig.exe
      • dex - write data into a file named wab.exe and executes it afterwards
      • sdl - delete itself from the infected system via the following command:
        • powershell Remove-Item -Path {File Path} -Force
      • ins - enables persistence by dropping a copy of itself and creating a VBS script that executes the malware copy
      • gdt - recursively delete itself from the infected system via the following command:
        • powershell Remove-Item -Path {File Path} -Force -Recurse

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

マルウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。

  • CurrentUser
  • Sandbox
  • Emily
  • HAPUBWS
  • Hong Lee
  • IT-ADMIN
  • Johnson
  • Miller
  • milozs
  • Peter Wilson
  • timmy
  • sand box
  • malware
  • maltest
  • test user
  • virus
  • John Doe

マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリキーが感染コンピュータ内に存在していないかを確認します。

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
DSDT\VBOX__

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
FADT\VBOX__

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
RSDT\VBOX__

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\
VirtualBox Guest Additions

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxGuest

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxMouse

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxSF

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxVideo

HKEY_LOCAL_MACHINE\SOFTWARE\Wine

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\vioscsi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\viostor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtIO-FS Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtioSerial

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BALLOON

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BalloonService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\netkvm

マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリ値が感染コンピュータ内に存在していないかを確認します。

HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VBOX

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = VBOX

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
VideoBiosVersion = VIRTUALBOX

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosDate = 06/23/99

HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = QEMU

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = QEMU

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.674.03
初回 VSAPI パターンリリース日 2022年7月8日
VSAPI OPR パターンバージョン 17.675.00
VSAPI OPR パターンリリース日 2022年7月9日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Win64.BUMBLELOADER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください