BKDR_MISDAT.AB

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %AppDataLocal%\{random file name 2}.tmp -> is deleted afterwards
• %AppDataLocal%\{random file name1}.tmp -> is deleted afterwards

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{unique identifier}\mstdc.exe - if the username is not "system"(case-insensitive)
• %Common AppData%\{unique identifier}\mstdc.exe - if the username is "system"(case-insensitive)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\{unique identifier} - if the username is not "system"(case-insensitive)
• %Common AppData%\{unique identifier} - if the username is "system"(case-insensitive)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {unique identifier}_KB10B2D1_CIlFD2C

自動実行方法

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• %Common Startup%\Realtek_{unique identifier}.lnk -> targets the copy of the malware with "/Start" as command line argument

(註：%Common Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AdobeSoft -> is deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\AdobeSoft
IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
AutoRecover = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net
http = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\ssl.projectscorp.net
https = "2"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
IMJPMIJ8.1{first 3 nybbles of unique identifier} = "%Application Data%\{unique identifier}\msdtc.exe /Start"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download arbitrary file and execute
• Delete File

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• news.{BLOCKED}ow.com:80//Item/{random}.asp
• ssl.{BLOCKED}scorp.net/pic/index.asp

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Name
• Operating System
• User Name
• User Group
• add user test result
• create directory test result
• open service manager test result
• File System
• Auto Config URL
• Proxy Address
• List of Services
• IP Configuration
• List of Users

その他

マルウェアが作成する以下の無害なファイルは、後に削除されます。

• %AppDataLocal%\{random file name 2}.tmp
• %AppDataLocal%\{random file name1}.tmp

マルウェアが作成する以下の自身のコピーは、ユーザ名が"system"（大文字小文字区別なし）ではない場合に作成されます。

• %Application Data%\{unique identifier}\mstdc.exe

マルウェアが作成する以下の自身のコピーは、ユーザ名が"system"（大文字小文字区別なし）の場合に作成されます。

• %Common AppData%\{unique identifier}\mstdc.exe

マルウェアが作成する以下のフォルダは、ユーザ名が"system"（大文字小文字区別なし）ではない場合に作成されます。

• %Application Data%\{unique identifier}

マルウェアが作成する以下のフォルダは、ユーザ名が"system"（大文字小文字区別なし）の場合に作成されます。

• %Common AppData%\{unique identifier}

マルウェアが作成する以下のショートカットは、コマンドライン引数として"/Start"を持つマルウェアのコピーに誘導します。

• %Common Startup%\Realtek_{unique identifier}.lnk

マルウェアが実行するコマンドは、以下のとおりです。

• 任意のファイルをダウンロードおよび実行
• ファイルの削除

マルウェアが収集する情報は、以下のとおりです。

• コンピュータ名
• オペレーティングシステム（OS）
• ユーザ名
• ユーザグループ
• 追加ユーザのテスト結果
• ディレクトリ作成のテスト結果
• サービスマネージャオープンのテスト結果
• ファイルシステム
• 自動環境設定URL
• プロキシのアドレス
• サービスのリスト
• IP環境設定
• ユーザのリスト

マルウェアは、コンピュータがGetKeyboardType APIを用いて日本語キーボードを利用しているかを確認します。

「{unique identifier}」は、ボリュームシリアル番号、コンピュータ名、他のシステム情報から生成される8つの16進数から成る数字です。

ユーザ名が"system"ではない場合、マルウェアは、以下の手順で自身の自動実行レジストリを作成します。

• 以下のレジストリキーを"%AppDataLocal%\{random file name1}.tmp"へバックアップする。
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• 以下のレジストリキーを作成する。
  • HKEY_CURRENT_USER\Software\AdobeSoft
• "%AppDataLocal%\{random file name1}.tmp"内のレジストリデータを以下へ復元する。
  • HKEY_CURRENT_USER\Software\AdobeSoft
• 以下のレジストリ値を"HKEY_CURRENT_USER\Software\AdobeSoft"へ追加する。
  • IMJPMIJ8.1{first 3 nybbles of unique identifier} = %Application Data%\{unique identifier}\msdtc.exe /Start
• 以下のレジストリキーを、"%AppDataLocal%\{random file name2}.tmp"へバックアップする。
  • HKEY_CURRENT_USER\Software\AdobeSoft
• "%AppDataLocal%\{random file name2}.tmp"内のレジストリデータを以下へ復元する。
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• 以下のレジストリキーを削除する。
  • HKEY_CURRENT_USER\Software\AdobeSoft
• 以下の一時ファイルを削除する。
  • %AppDataLocal%\{random file name1}.tmp
  • %AppDataLocal%\{random file name2}.tmp

マルウェアは以下のコマンドライン引数を持つ作成された自身のコピーを実行します。

/ok

マルウェアは以下の文字列を含む"NetUserAdd"および"NetUserDel"を用いて追加ユーザテストを実行します。

• LOST_{unique identifier} pond~!@{unique identifier}

マルウェアは、自身のバックドア活動の一部として以下のプロセスを作成します。

%Program Files%\internet explorer\iexplore.exe http://ssl.{BLOCK}tscorp.net/pic/index.asp?mmid={unique identifier}

マルウェアは以下の不正なURLへアクセスします。

• ssl.{BLOCKED}tscorp.net/pic/{unique identifier}.txt

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。