BKDR_KELIHOS.NRT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random parameter 1}{random parameter 2} = "{malware path and file name}"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DefaultCompressedRecord = "{random value}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
RecordModifiedMax = "{random value}=="

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FlagsModifiedValid = "0"

HKEY_CURRENT_USER\Software\TansuTCP
ActiveModifiedTheme = "{random value}"

HKEY_CURRENT_USER\Software\TansuTCP
SizeCompletedValid = "{random value}=="

HKEY_CURRENT_USER\Software\TansuTCP
InfoPlayedCurrent = "0"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Request spam email messages structure and template
• Send spam email messages
• Send stolen information
• Get operating system information
• Get drive information
• List running processes
• Download and execute arbitrary files
• Update server with a list of compromised computers
• Manage registry
• Download updated copy of itself

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.95.3/home.htm
• http://{BLOCKED}.205.70/welcome.htm
• http://{BLOCKED}.95.3/online.htm
• http://{BLOCKED}.95.3/main.htm
• http://{BLOCKED}.108.182/file.htm

情報漏えい

マルウェアは、以下の情報を収集します。

• Network traffic information
• Login credentials from FTP, POP3 and SMTP traffic
• Bitcoins

マルウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• 3D-FTP
• 32bit FTP
• ALFTP
• BlazeFtp
• BPFTP
• Classic FTP
• COREFTP
• CuteFTP
• DeluxeFTP
• EasyFTP
• FAR Manager FTP
• FFFTP
• FreeFTP/DirectFTP
• FreshFTP
• FTP Commander
• FTP Control
• FTP Explorer
• FTP Navigator
• FTP Now
• FTP Surfer
• FTP++
• FTPGetter
• FTPNow
• FTPRush
• GoFTP
• LeapFTP
• LeechFTP
• LINASFTP
• MyFTP
• NovaFTP
• NppFTP
• QuickFtp
• Robo-FTP
• SmartFTP
• SoftX FTP Client
• Staff-FTP
• TurboFTP
• WinFTP
• WS_FTP

マルウェアは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。

• Server Name
• User Name
• Password
• Directory
• Port

マルウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Bromium
• ChromePlus
• Chromium
• Comodo
• CoolNovo
• Epic Browser
• Google Chrome
• K-Meleon
• Nichrome
• Rockmelt
• Yandex

その他

マルウェアが実行するコマンドは、以下のとおりです。

• スパムメールのためのメッセージ構造およびテンプレートのリクエスト
• スパムメールの送信
• 収集した情報の送信
• オペレーティングシステム（OS）に関する情報の収集
• ドライブに関する情報の収集
• 実行中プロセスの表示
• 任意のファイルのダウンロードおよび実行
• 感染コンピュータのリストに合わせサーバを更新
• レジストリの管理
• 自身のコピーの更新版のダウンロード

マルウェアが収集する情報は、以下のとおりです。

• ネットワークトラフィックに関する情報
• FTP、POP3およびSMTPトラフィックからのログイン認証情報
• Bitcoins

マルウェアが収集するアカウント情報は、以下のとおりです。

• サーバ名
• ユーザ名
• パスワード
• ディレクトリ
• ポート

マルウェアは、実行後、自身のファイルを「読み取り専用」および「隠しファイル」へと変更します。

自動実行レジストリの「{random parameter 1} 」は、以下のいずれかとなる可能性があります。

• CrashReport
• Database
• Desktop
• Icon
• Media
• Network
• Time
• Tray
• Video

自動実行レジストリの「 {random parameter 2} 」は、以下のいずれかとなる可能性があります。

• Checker
• CrashReportUpdater
• For example:
• Informer
• NetworkVerifyer
• Notifyer
• Saver
• TrayNotifyer
• Updater
• Verifyer

マルウェアは、以下のファイル名を用いて、自身の更新版のコピーを保存します。

• acrord32
• agent
• alg
• ati2evxx
• avguard
• batch
• block
• ccapp
• ccevtmgr
• ccsetmgr
• convert
• decompile
• defwatch
• dit
• download
• dwm
• edit
• em_exec
• explorer
• extract
• ezsp_px
• firefox
• fix
• gearsec
• hkcmd
• hkcr
• htpatch
• ielowutil
• ieuser
• iexplore
• igfxtray
• isuspm
• java
• jqs
• jucheck
• jusched
• khalmnpr
• klwtblfs
• lame
• launch
• lsass
• lucoms
• mac
• mcshield
• mcvsescn
• msascui
• mscorsvw
• mspmspsv
• naprdmgr
• navapsvc
• nprotect
• ntvdm
• nvsvc32
• nvxdsync
• nwiz
• pctspk
• pdvddxsrv
• play
• point32
• qbw32
• qttask
• rename
• rundll32
• services
• sidebar
• smc
• spoolsv
• svchost
• taskman
• terraria
• toaster
• trustedinstaller
• unhide
• unpack
• unzip
• update
• upgrade
• uptime
• view
• vsmon
• webscanx
• winlogon
• wisptis
• wmpnetwk
• wmpnscfg
• xsd
• zcfgsvc
• zumodrive

ダウンロードされるファイルのフォルダは、ダウンロードのバックドアコマンドによって決定されます。

マルウェアは、"WinPcap" を用います。これは、一般にも利用される正規のWindows用パケットキャプチャライブラリであり、ここでは、感染したコンピュータのネットワーク活動の監視に使用されます。この一連の活動は、以下の無害なファイルを作成およびインストールすることにより行われます。

• %System%\packet.dll
• %System%\wpcap.dll
• %System%\drivers\npf.sys

マルウェアは、HTTPプロトコル（TCP ポート80番）を介してリモートサーバと暗号化されたメッセージのやり取りを行います。また、リモートホストと通信する際、以下の細工されたユーザエージェントを利用します。

• Mozilla/1.22 (compatible; MSIE 10.0; Windows 3.1)
• Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
• Mozilla/5.0 (compatible; MSIE 10.0; Macintosh; Intel Mac OS X 10_7_3; Trident/6.0)
• Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/4.0; InfoPath.2; SV1; .NET CLR 2.0.50727; WOW64)
• Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
• Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
• Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
• Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; Acoo Browser 1.98.744; .NET CLR 3.5.30729)
• Mozilla/5.0 (compatible; MSIE 9.0; AOL 9.7; AOLBuild 4343.19; Windows NT 6.1; WOW64; Trident/5.0; FunWebProducts)
• Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14
• Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; chromeframe/12.0.742.112)
• Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
• Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)
• Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko ) Version/5.1 Mobile/9B176 Safari/7534.48.3
• Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25
• Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/537.13+ (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
• Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/534.55.3 (KHTML, like Gecko) Version/5.1.3 Safari/534.53.10
• Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_7; da-dk) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
• Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; de-at) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
• Mozilla/5.0 (Windows NT 5.0; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (Windows NT 5.1) Gecko/20100101 Firefox/14.0 Opera/12.0
• Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0
• Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130401 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.0; rv:2.0) Gecko/20100101 Firefox/4.0 Opera 12.14
• Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36
• Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130401 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0
• Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:22.0) Gecko/20130328 Firefox/22.0
• Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130330 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130331 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130401 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
• Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36
• Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130326 Firefox/21.0
• Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36
• Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
• Mozilla/5.0 (X11; Linux i686; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20100101 Firefox/21.0
• Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20130331 Firefox/21.0
• Opera/9.80 (Windows NT 5.1; U; zh-sg) Presto/2.9.181 Version/12.00
• Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14
• Opera/9.80 (Windows NT 6.1; U; es-ES) Presto/2.9.181 Version/12.00

マルウェアは、SMTP接続を利用して、スパムメールを送信します。その際、この不正プログラムは、侵入したコンピュータのローカルドライブからEメールアドレスも収集し、スパムメールの送信に利用します。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。