BKDR_HUPIGON
Delf, Emerleox, Logsnif, Graybird, Pcclient
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「HUPIGON」は、バックドア型マルウェアで構成されるファミリです。マルウェアは、通常他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。「HUPIGON」の亜種は、複数のファイルまたは自身のコピーを作成します。
「HUPIGON」の亜種は、ポートを開いたり、またはサーバに接続したりすることによって、不正リモートユーザが感染コンピュータへアクセスすることを可能にします。アクセスが確立すると、不正リモートユーザは、感染コンピュータ上でファイルおよびフォルダの削除やファイルのダウンロードおよび実行、プロセスの終了などといったコマンドを実行します。
また「HUPIGON」の亜種は、感染コンピュータに関する情報を収集します。さらに、ユーザのキー入力操作情報やパスワード、他のユーザの個人情報などといった情報を収集します。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %System%\IEXPL0RER.bat
- %System%\pchsvc.dll
- %System%\Sysclt.dll
- %System%\Systen.dll
- %Windows%\{random}.dat
- %Windows%\{random}.dll
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\pchsvc.dll
- %Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe
- %System%\IEXPL0RER.EXE
- %Windows%\Hacker.com.cn.ini
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Asynchronous = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Impersonate = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
DllName = "%System%\Systen.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Startup = "ServiceMain"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\winlogon.exe = "%System%\winlogon.exe:*:Enabled:Thunder"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Asynchronous = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Impersonate = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
DllName = "%System%\Sysclt.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Startup = "ServiceMain"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ImagePath = ""%System%\IEXPL0RER.EXE " /service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
DisplayName = "NTDISK Instrumentation Driver Extensions"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Description = "BlackHole Remote Control Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ImagePath = "%Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
DisplayName = "Oogical Kisk Manager Administrative Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ImagePath = "%Windows%\Hacker.com.cn.ini"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
DisplayName = "Windows XP Vista"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\helpsvc\Parameters
ServiceMain = "ServiceMain"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\svchost.exe = "%System%\svchost.exe:*:Enabled:Thunder"
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\
QQ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\helpsvc\Parameters
ServiceDll = "%System%\pchsvc.dll"
(註:変更前の上記レジストリ値は、「%Windows%\PCHealth\HelpCtr\Binaries\pchsvc.dll」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- baobao550.{BLOCKED}8.net
- dico666.go.{BLOCKED}2.org
- gang0007.go.{BLOCKED}2.org
- hkago.{BLOCKED}2.org
- kaihai520.go3.{BLOCKED}n.com
- kuaihuo128.go1.{BLOCKED}n.com
- sixup.{BLOCKED}2.org
- sixup.go.{BLOCKED}2.org
- user.free.{BLOCKED}9.net
- vip2.{BLOCKED}3.com
- waxy.go3.{BLOCKED}n.com
- www.{BLOCKED}b.net
- www.{BLOCKED}i.cn
- xiaolidong.{BLOCKED}p.net
- xiaolidong1.go.{BLOCKED}2.org
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください