BKDR_EVILOGE.SM

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、日本および中国のユーザを標的とする「EvilGrab」による標的型攻撃に利用されました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、感染コンピュータから特定の情報を収集します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\360\Live360.exe
• %Application Data%\temp\temp1.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• svchost.exe

マルウェアは、以下のフォルダを作成します。

• %Application Data%\360
• %Application Data%\temp

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UKey = "%Application Data%\360\Live360.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\rar

HKEY_CURRENT_USER\Software\rar

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\rar
data = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\rar
s = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\rar
ActiveSettings = "{random characters}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Log keystrokes
• Download and execute file(s)
• Manipulate files
• Manipulate directories
• Steals user credentials such as user name and passwords, which are related to the following applications:
  • Internet Explorer Password-Protected sites
  • Microsoft Outlook
  • HTTP
  • IMAP
  • Protected Storage
  • POP3
  • SMTP
  • HTTPMail
  • Windows Messaging

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://www.{BLOCKED}k.hk

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• 360Safe
• 360safe.exe
• 360sd.exe
• 360tray.exe
• AVGIDSMonitor.exe
• Avast
• FProt
• FProtTray.exe
• FrzState2K.exe
• KAVsvc.exe
• KSafeTray.exe
• KVwsc.exe
• LiveUpdate360
• MPMon.exe
• Mcafee
• Mcshield.exe
• NOD32
• RavMon.exe
• RavMonD.exe
• RsTray.exe
• SfCtlCom.exe
• UfNavi.exe
• UfSeAgnt.exe
• WinMe
• ZhuDongFangYu.exe
• ashServ.exe
• avgrsx.exe
• avp.exe
• ccSvcHst.exe
• ekrn.exe
• explorer.exe
• kav.exe
• kwstray.exe
• kxetray
• nod32krn.exe
• nscsrvce.exe
• ravtask.exe
• rising.exe
• rtvscan.exe
• ESET Filter Service
• ESET5

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

• %User Profile%\users.bin - Contains keystroke logs

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

情報漏えい

マルウェアは、感染コンピュータから以下の情報を収集します。

• Local IP address
• Operating system
• Computer name
• User name
• Processor information

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアが実行するコマンドは、以下のとおりです。

• キー入力操作情報の記録
• ファイルのダウンロードおよび実行
• ファイルの操作
• ディレクトリの操作
• 以下のアプリケーションに関連するユーザ名やパスワードといったユーザの認証情報の収集
  • Internet Explorer（IE）のパスワード保護されたWebサイト
  • Microsoft Outlook
  • HTTP
  • IMAP
  • 保護されたストレージ
  • POP3
  • SMTP
  • HTTPMail
  • Windows Messaging

マルウェアが作成する以下のファイルは、キー入力操作情報を含んでいます。

• %User Profile%\users.bin

マルウェアが収集する情報は、以下のとおりです。

• ローカルIPアドレス
• オペレーティングシステム（OS）
• コンピュータ名
• ユーザ名
• プロセッサの情報

マルウェアは、自身が作成した"svchost.exe"のインスタンスに挿入する2つのDLL ファイルをメモリ内に復号します。

マルウェアは、中国のインスタント・メッセージ・アプリケーション"Tencent QQ"に関連するすべてのメモリを収集します。これには、Tencent QQ内のユーザの連絡先の会話を含みます。