BKDR_CYCBOT.SMA

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\dwm.exe
• %Application Data%\Microsoft\conhost.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

• %User Profile%\Application Data\B0B2D
• %Program Files%\2D6E3
• %Program Files%\LP
• %Program Files%\LP\7CCB

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe,%Application Data%\dwm.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
conhost = "%Application Data%\Microsoft\conhost.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:{random numbers}"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender
DisableAntiSpyware = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}onlinecatalog.com
• {BLOCKED}topmusiconline.com
• {BLOCKED}ratemilkandtee.com
• {BLOCKED}speeddbsearch.com
• {BLOCKED}logsourcecodes.com
• {BLOCKED}legamesonlines.com
• {BLOCKED}nebackuostore4you.com
• {BLOCKED}useyescat.com
• {BLOCKED}roskopia.com
• {BLOCKED}whoisdb.com
• {BLOCKED}rogrammingshool.com
• {BLOCKED}secureonline.com
• {BLOCKED}ukaclubonline.com
• {BLOCKED}idioz.com
• {BLOCKED}ybigtit.com
• {BLOCKED}storepro.com
• {BLOCKED}dmeroster.com
• {BLOCKED}tazone.com
• {BLOCKED}torefor.com
• {BLOCKED}torepro.com
• {BLOCKED}epdahelpforyou.com
• {BLOCKED}kreddomas.com
• {BLOCKED}fersakkonline.com
• {BLOCKED}pdomaintolevel.com
• {BLOCKED}oyoustudios.com
• {BLOCKED}lkhypnocrys.com
• {BLOCKED}ats.com

ただし、情報公開日現在、このWebサイトにはアクセスできません。

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• avgnt.exe
• Avira*
• ccsvchst.exe
• Norton*
• Symantec*
• AvastUI.exe
• Alwil Software*
• Avast*
• mcagent.exe
• McAfee*
• avira
• norton
• avast
• mcafee
• bitdef
• kasper
• drweb
• nod32
• AVGIDSAgent.exe
• avgwdsvc.exe

作成活動

マルウェアは、収集した情報を保存するために以下のファイルを作成します。

• %Application Data%\9EAE.6BA
• %User Profile%\Application Data\B0B2D\D6E3.0B2

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}eafdesign.com/blog/images/share/facebook.png
• http://{BLOCKED}eafdesign.com/blog/images/share/stumble.png
• http://{BLOCKED}o.com/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg
• http://{BLOCKED}ar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1
• http://{BLOCKED}ar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2
• http://{BLOCKED}erbalteaonline.com/images/greenherbalteagirlholdingcup250.gif
• http://{BLOCKED}erbalteaonline.com/images/greenherbalteagirlholdingcup350.gif
• http://{BLOCKED}ylifenow.com/templates/7348/images/header_logo.jpg
• http://{BLOCKED}ylifenow.com/templates/7349/images/header_logo.jpg
• http://{BLOCKED}dandbarrett.com/images/footer/account.gif
• http://{BLOCKED}dandbarrett.com/images/footer/account.jpg
• http://{BLOCKED}segreenteaonline.com/assets/images/greentea-cha-1.gif
• http://{BLOCKED}segreenteaonline.com/assets/images/greentea-cha-2.gif
• http://{BLOCKED}opaganda.net/blog/pics/3321.jpg
• http://{BLOCKED}opaganda.net/blog/pics/3322.jpg
• http://{BLOCKED}rom.at/polytheism/pictures/TanzenderShiva.jpg
• http://{BLOCKED}sautoelectric.com/images/50-217-1_F_1_.jpg
• http://{BLOCKED}sautoelectric.com/images/50-217-1_F_2_.jpg
• http://{BLOCKED}bizdirectory.com/images/PowerHideBanner.gif
• http://{BLOCKED}bizdirectory.com/images/PowerShowBanner.gif
• http://{BLOCKED}datingsecretfriends.com/images/im133.jpg
• http://{BLOCKED}datingsecretfriends.com/images/im134.jpg
• http://{BLOCKED}institute.com/g7/images/logo.jpg
• http://{BLOCKED}institute.com/g7/images/logo2.jpg
• http://{BLOCKED}institute.com/g7/images/logo3.jpg
• http://{BLOCKED}institute.com/g7/images/logo4.jpg
• http://{BLOCKED}om/img/icons/facebook.png
• http://{BLOCKED}om/img/icons/twitter.png
• http://{BLOCKED}ftwaredevelopment.com/WindowsLiveWriter/web-2_0_thumb_1.gif
• http://{BLOCKED}ts.com/images/logo.pn
• http://{BLOCKED}enewworldorder.com/images/pages.jpg
• http://{BLOCKED}mtonschools.org/images/ace/1/ace_1101278014_1314729789.jpg
• http://{BLOCKED}mtonschools.org/images/297893.jpg
• http://{BLOCKED}mtonschools.org/images/297894.jpg
• http://{BLOCKED}cationalsoftware.com/credi cardlogos.gif
• http://{BLOCKED}ucationalsoftware.com/creditcard.png
• http://{BLOCKED}cationalsoftware.com/creditcard2.png
• http://{BLOCKED}genius.com/temp/head.png
• http://{BLOCKED}tgenius.com/132.gif
• http://{BLOCKED}tgenius.com/133.gif
• http://{BLOCKED}wnload3.com/screenshot/4/s/89_3276.gif
• http://{BLOCKED}load3.com/screenshot/4/s/89_3277.gif
• http://{BLOCKED}wnload3.com/screenshot/4/s/89_3278.gif
• http://{BLOCKED}analyst.com/png/intel.gif
• http://{BLOCKED}analyst.com/png/intel.jpg
• http://{BLOCKED}nalyst.com/12.jpg
• http://{BLOCKED}intsboard.com/complaints/logo.png
• http://{BLOCKED}aintsboard.com/complaints/zip.png
• http://{BLOCKED}intsboard.com/complaints/rar.png
• http://{BLOCKED}edinternetlosangeles.webnode.com/news/1.cgi
• http://{BLOCKED}edinternetlosangeles.webnode.com/news/1.php
• http://{BLOCKED}eedinternetlosangeles.webnode.com news/2.php
• http://{BLOCKED}ldorderreport.com/favicon.ico
• http://{BLOCKED}ldorderreport.com/img/3421.png
• http://{BLOCKED}rldorderreport.com/img/3422.png
• http://{BLOCKED}henewworldorder.com/images/pages.png
• http://cdn.{BLOCKED}ofdeception.com/wp-content/uploads/2011/06/frame6.png
• http://cdn.{BLOCKED}ofdeception.com/wp-content/uploads/2011/06/frame7.png
• http://cdn.{BLOCKED}ofdeception.com/logo.png

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、プロキシサーバとして機能します。マルウェアは、感染コンピュータ上で、インターネットブラウザにリクエストされた情報を傍受し、自身にそのリクエストが送信されるようにします。このとき、マルウェアは、レジストリに追加されたポート番号を利用します。

マルウェアは、以下の文字列を参照しながら感染したコンピュータのインターネット閲覧活動を監視し、人気の検索エンジンやソーシャル・ネットワーキング・サイト（SNS）関連のWebサイトにユーザがアクセスしているかどうかを確認します。そしてマルウェアは、これらのWebサイトから情報を傍受します。

• .2mdn.
• .abmr.
• .adtechus.
• .aol.
• .atdmt.
• .atwola.
• .autodatadirect.
• .bing.net
• .dartsearch.
• .doubleclick.
• .ggpht.
• .google
• .ivwbox.
• .mapquestapi.
• .microsoft.
• .opera.
• .tacoda.
• .thawte.
• .tlowdb.
• .truveo.
• .virtualearth.
• .wsod.
• .yimg.com
• .ypcdn.
• amazon.
• aol/search
• aolcdn.
• aolsvc.
• bing.com
• bing.com/search
• blogger
• brightcove.com
• doubleclick.
• ebay.
• facebook.
• flickr
• google-analytics.
• google.
• googlesyndication.
• googleusercontent.
• gstatic.
• imdb.
• mapq.st
• scorecardresearch.com
• search.aol.
• search.yahoo.com/search
• searcht2.aol.
• suche.aol.
• twitter.
• wikimedia.
• wikipedia.
• yahoo.
• yahoo.com
• youtube.
• ytimg.
• /complete/search
• /gen_204
• /images
• /imglanding
• ?query=
• &&&&query=

マルウェアは、インターネットブラウザのアドレスバーを監視します。そして、アドレスバーに以下のいずれかの文字列を確認すると、ユーザを他のページへと誘導します。

• Avast
• Avira
• Dr.Web
• Kaspersky
• McAfee
• ESET NOD32
• Norton
• BitDefender

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。