BKDR_MISDAT.AB
Backdoor:Win32/Misdat.A!dha (Microsoft); Trojan.Gen.SMH (Symantec); RDN/Generic BackDoor!bd3 (McAfee)
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下の無害なファイルを作成します。
- %AppDataLocal%\{random file name 2}.tmp -> is deleted afterwards
- %AppDataLocal%\{random file name1}.tmp -> is deleted afterwards
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\{unique identifier}\mstdc.exe - if the username is not "system"(case-insensitive)
- %Common AppData%\{unique identifier}\mstdc.exe - if the username is "system"(case-insensitive)
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\{unique identifier} - if the username is not "system"(case-insensitive)
- %Common AppData%\{unique identifier} - if the username is "system"(case-insensitive)
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {unique identifier}_KB10B2D1_CIlFD2C
自動実行方法
マルウェアは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。
- %Common Startup%\Realtek_{unique identifier}.lnk -> targets the copy of the malware with "/Start" as command line argument
(註:%Common Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp" です。.)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\AdobeSoft -> is deleted afterwards
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\AdobeSoft
IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
AutoRecover = "2"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net
http = "2"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net
https = "2"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download arbitrary file and execute
- Delete File
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- news.{BLOCKED}ow.com:80//Item/{random}.asp
- ssl.{BLOCKED}scorp.net/pic/index.asp
情報漏えい
マルウェアは、以下の情報を収集します。
- Computer Name
- Operating System
- User Name
- User Group
- add user test result
- create directory test result
- open service manager test result
- File System
- Auto Config URL
- Proxy Address
- List of Services
- IP Configuration
- List of Users
その他
マルウェアが作成する以下の無害なファイルは、後に削除されます。
- %AppDataLocal%\{random file name 2}.tmp
- %AppDataLocal%\{random file name1}.tmp
マルウェアが作成する以下の自身のコピーは、ユーザ名が"system"(大文字小文字区別なし)ではない場合に作成されます。
- %Application Data%\{unique identifier}\mstdc.exe
マルウェアが作成する以下の自身のコピーは、ユーザ名が"system"(大文字小文字区別なし)の場合に作成されます。
- %Common AppData%\{unique identifier}\mstdc.exe
マルウェアが作成する以下のフォルダは、ユーザ名が"system"(大文字小文字区別なし)ではない場合に作成されます。
- %Application Data%\{unique identifier}
マルウェアが作成する以下のフォルダは、ユーザ名が"system"(大文字小文字区別なし)の場合に作成されます。
- %Common AppData%\{unique identifier}
マルウェアが作成する以下のショートカットは、コマンドライン引数として"/Start"を持つマルウェアのコピーに誘導します。
- %Common Startup%\Realtek_{unique identifier}.lnk
マルウェアが実行するコマンドは、以下のとおりです。
- 任意のファイルをダウンロードおよび実行
- ファイルの削除
マルウェアが収集する情報は、以下のとおりです。
- コンピュータ名
- オペレーティングシステム(OS)
- ユーザ名
- ユーザグループ
- 追加ユーザのテスト結果
- ディレクトリ作成のテスト結果
- サービスマネージャオープンのテスト結果
- ファイルシステム
- 自動環境設定URL
- プロキシのアドレス
- サービスのリスト
- IP環境設定
- ユーザのリスト
マルウェアは、コンピュータがGetKeyboardType APIを用いて日本語キーボードを利用しているかを確認します。
「{unique identifier}」は、ボリュームシリアル番号、コンピュータ名、他のシステム情報から生成される8つの16進数から成る数字です。
ユーザ名が"system"ではない場合、マルウェアは、以下の手順で自身の自動実行レジストリを作成します。
- 以下のレジストリキーを"%AppDataLocal%\{random file name1}.tmp"へバックアップする。
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 以下のレジストリキーを作成する。
- HKEY_CURRENT_USER\Software\AdobeSoft
- "%AppDataLocal%\{random file name1}.tmp"内のレジストリデータを以下へ復元する。
- HKEY_CURRENT_USER\Software\AdobeSoft
- 以下のレジストリ値を"HKEY_CURRENT_USER\Software\AdobeSoft"へ追加する。
- IMJPMIJ8.1{first 3 nybbles of unique identifier} = %Application Data%\{unique identifier}\msdtc.exe /Start
- 以下のレジストリキーを、"%AppDataLocal%\{random file name2}.tmp"へバックアップする。
- HKEY_CURRENT_USER\Software\AdobeSoft
- "%AppDataLocal%\{random file name2}.tmp"内のレジストリデータを以下へ復元する。
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 以下のレジストリキーを削除する。
- HKEY_CURRENT_USER\Software\AdobeSoft
-
以下の一時ファイルを削除する。
- %AppDataLocal%\{random file name1}.tmp
- %AppDataLocal%\{random file name2}.tmp
マルウェアは以下のコマンドライン引数を持つ作成された自身のコピーを実行します。
/ok
マルウェアは以下の文字列を含む"NetUserAdd"および"NetUserDel"を用いて追加ユーザテストを実行します。
- LOST_{unique identifier} pond~!@{unique identifier}
マルウェアは、自身のバックドア活動の一部として以下のプロセスを作成します。
%Program Files%\internet explorer\iexplore.exe http://ssl.{BLOCK}tscorp.net/pic/index.asp?mmid={unique identifier}
マルウェアは以下の不正なURLへアクセスします。
- ssl.{BLOCKED}tscorp.net/pic/{unique identifier}.txt
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- AdobeSoft
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
- Recovery
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
- ssl.projectscorp.net
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"
- IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"
手順 6
以下のフォルダを検索し削除します。
- %Application Data%\{unique identifier}
- %Common AppData%\{unique identifier}
手順 7
以下のファイルを検索し削除します。
- %Common Startup%\Realtek_{unique identifier}.lnk
- %AppDataLocal%\{random file name 2}.tmp
- %AppDataLocal%\{random file name1}.tmp
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_MISDAT.AB」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください