BKDR_CRIDEX.MQ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\KB{random number}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下の無害なファイルを作成します。

• %Application Data%\{random folder}\{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\{random folder}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Local\XME{random 8-character}
• Local\XMM{random 8-character}
• Local\XMI{random 8-character}
• Local\XMS{random 8-character}
• Local\XMF{random 8-character}
• Local\XMR{random 8-character}
• Local\XMQ{random 8-character}
• Local\XMB{random 8-character}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random number}.exe = "%Application Data%\KB{random number}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\{random}

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\{random 1}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute additional files
• Download other files
• Monitors cookies
• Steal login credentials
• Update itself
• Upload collected certificates and credentials

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}srvr8.ru/jsbqmCA/hCpyb/Cnw/ED/
• http://{BLOCKED}load.ru/jsbqmCA/hCpyb/Cnw/ED/
• http://{BLOCKED}sdnl.ru/jsbqmCA/hCpyb/Cnw/ED/
• http://{BLOCKED}ownloads17.ru/jsbqmCA/hCpyb/Cnw/ED/

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• /ach/
• /authentication/zbf/k/
• /bb/logon/
• /cashman/
• /cashplus/
• /clkccm/
• /cmmain\.cfm
• /cmserver/
• /cmwire
• /ebc_ebc1961/
• /ibs\.
• /ibws/
• /icm/
• /icm2/
• /inets/
• /livewire/
• /loginolb/loginolb
• /netbnx/
• /olbb/
• /phcp
• /sbuser/
• /smallbiz/
• /wcmpw/
• /webcm/
• /wire/
• /wires/
• 2checkout\.com
• \.com/k1/
• aah-point\.com
• ablv\.com
• abnamro\.nl
• access\.jpmorgan\.com
• access\.usbank\.com
• accessbankplc\.com
• accountoverview\.aspx
• accurint\.com
• achieveaccess\.citizensbank\.com
• achpayment
• achredirect\.aspx
• achweb\.unionbank\.com
• achworks\.com
• alltimetreasury\.pacificcapitalbank\.com
• alphabank\.com
• amegybank\.com/
• anb\.portalvault\.com
• anz\.com
• arizonastatecu\.org/onlineserv/HB/
• atbonlinebusiness\.com
• auth\.umb\.com
• authmaster\.nationalcity\.com
• baltikums\.com
• baltikums\.eu
• banesco\.com\.pa
• bankbyweb
• bankfirst\.com
• banking\.calbanktrust\.com
• banking\.firsttennessee\.biz
• banknet\.lv
• bankofbermuda\.com
• bankofcyprus\.com
• bankofthewest\.com
• bankonline\.sboff\.com
• bcu\.org
• business\.swedbank\.lv
• cbonline
• cencorpcu\.com/
• chase\.com
• etrade\.com
• ezremitlive\.net
• fairmontfcu\.com
• financialtrans\.com
• firstcitizens\.org
• garanti\.com\.tr
• gcfcu\.org
• hbstech
• hsabank\.com
• ing\.nl
• inovafcu\.org
• instantcashworldwide
• itransfer\.com
• jdcu\.com
• jubaxpress
• key\.com
• keysfcu\.org
• kstcu\.org
• louisianafcu\.org
• memberdirect\.net/brand/ab_communitysavings/OnlineBanking/Accounts/
• muthootglobal
• mwafcu\.org
• myebanking\.net
• myfireonline\.org
• myonline\.bankbv\.com
• myunited\.ca
• nab\.com\.au
• nbad\.com
• nbtacu\.nb\.ca
• newwaterfordcreditunion\.com
• nlcu\.com
• nlcu\.on\.ca
• northerncu\.com
• northridgesavings\.com
• northsave\.com
• northsydneycreditunion\.com
• o2\.oximall\.com
• online\.ent\.com
• onlineserv/HB
• oppacu\.com
• oswfs\.com
• pboccu\.com
• penfinancial\.com
• peoplescu\.ca
• plainscapital\.gfxwebwire\.com
• postfinance\.ch
• progressivecu\.nb\.ca
• prospera\.ca
• provincehouse\.com
• pscu\.ca
• rabobank\.nl
• rbcroyalbank\.com/accounts
• rbsm\.com
• rcu\.com
• redcanoecu\.com
• reddyk\.net
• rjf\.com
• royalexchange
• sascu\.com
• sccu\.ca
• secure\.accesshorizon\.com
• secuwa\.org
• servlet/Teller
• snsbank\.nl
• souriscreditu\.com
• southwestcu\.com
• stellamariscreditu\.com
• sterlingpayment\.com
• stjosephscreditu\.ca
• sudburycu\.com
• sydneycreditunion\.com
• tcufinancialgroup\.com
• teacherscu\.on\.ca
• teacherspcu\.ca
• tignishcreditu\.com
• tpcu\.on\.ca
• transfastwmt
• txn\.banking\.pcfinancial\.ca
• unigasco\.com
• unitysavings\.com
• unwfcu\.org
• usaa\.com
• valleycreditunion\.com
• valleyfirstcu\.org
• vancity\.com
• vantageone\.net
• venturecu\.ca
• victorycreditunion\.ca
• wfcu\.ca
• wpcuonline\.net
• wscu\.com
• wu-amar\.com
• www.sydenhamccu\.ca
• xpressmoney
• yourcu\.com

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。