BKDR_DASERF.NZV

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

• %User Temp%\{temp filename}.bat -> used to delete the malware and itself

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\24203

自動実行方法

マルウェアは、以下のサービスを開始します。

• ServiceName = "swprv3"
  DisplayName = "Microsoft Software Shadow Copy Provider System Information"
  BinaryPathName = """C:\Program Files\internet explorer\pd7.exe"""

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
Type = 272

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
ImagePath = "%Program Files%\internet explorer\pd7.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
DisplayName = "Microsoft Software Shadow Copy Provider System Information"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swprv3
Description = "???Manages software-based volume shadow copies taken by the Volume Shadow Copy service. If this service is stopped, software-based volume shadow copies cannot be managed. If this service is disabled, any services that explicitly depend on it will fail to start."

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Execute Powershell commands
• Uninstall itself
• Install PlugIn
• Change Activity Time
• Change download URL
• Sleep
• Gather System Information
• Perform Remote Shell
• Create or terminate processes
• Upload, Download, or Execute Files
• Enumerate all drives with corresponding drive types
• Get sha1/md5 of file
• Search, Move, or Delete files
• Get File Information
• Create, Change, or Delete Directory
• Enumerate files and directories

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}.{BLOCKED}.204.100/0002/phptunnel.php?t0=00000956&t1=0&t2=c45d5aca&t3=0&t6=1000

作成活動

マルウェアは、以下のファイルを作成します。

• %Program Files%\internet explorer\pd7.exe

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Name
• System Default Language ID
• OS Version
• Is administrator
• Is 64-bit
• Available Disk Space
• User Name