BKDR_PLUGX.DO

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、作成されたファイルを実行します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

• %All Users Profile%\SxS
• %All Users Profile%\Camera

マルウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• msiexec.exe
• svchost.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\FAST

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Setttings\
5.0\User Agent

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Setttings\
5.0\User Agent\Post Platform

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Setttings\
User Agent

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Setttings\
User Agent\Post Platform

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\FAST
CLSID = "{random values}"

HKEY_LOCAL_MACHINE\FAST
CLSID = "{random values}"

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Temp%\CamMute.exe = "%User Temp%\CamMute.exe:*:Enabled:Camera Mute Control Service for ThinkPad"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Copy, move, rename, delete files
• Create directories
• Create files
• Enumerate files
• Execute files
• Get drive information
• Get file information
• Open and modify files
• Log keystrokes and active window
• Enumerate TCP and UDP connections
• Enumerate network resources
• Set TCP connection state
• Lock workstation
• Log off user
• Restart/Reboot/Shutdown system
• Display a message box
• Perfrom port mapping
• Enumerate processes
• Get process information
• Terminate processes
• Enumerate registry keys
• Create registry keys
• Delete registry keys
• Copy registry keys
• Enumerate registry entries
• Modify registry entries
• Delete registry values
• Screen capture
• Delete services
• Enumerate services
• Get service information
• Modify services
• Start services
• Perform remote shell
• Connect to a database server and execute SQL statement
• Host Telnet server

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}e.{BLOCKED}tingrecovery.net:443/update?id={malware ID}

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\CamMute.exe
• %User Temp%\CommFunc.dll - detected as BKDR_PLUGX.DO
• %User Temp%\CommFunc.jax - detected as BKDR_PLUGX.DO
• %All Users Profile%\Camera\CamMute.exe
• %All Users Profile%\Camera\CommFunc.dll - detected as BKDR_PLUGX.DO
• %All Users Profile%\Camera\CommFunc.jax - detected as BKDR_PLUGX.DO
• %All Users Profile%\SxS\bug.log

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、作成されたファイルを実行します。

情報漏えい

マルウェアは、以下のパラメータを受け取ります。

• -k (bypass firewall)

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアが実行するコマンドは、以下のとおりです。

• ファイルのコピー、移動、リネーム、削除
• ディレクトリの作成
• ファイルの作成
• ファイルの列挙
• ファイルの実行
• ドライブ情報の取得
• ファイル情報の取得
• ファイルの開示、変更
• キー入力操作情報とアクティブなウインドウの収集
• TCPおよびUDP接続の列挙
• ネットワークリソースの列挙
• TCP接続の状態の設定
• ワークステーションのロック
• ユーザのログオフ
• コンピュータの再起動、リブートまたはシャットダウン
• メッセージボックスの表示
• ポートマッピングの実行
• プロセスの列挙
• プロセス情報の取得
• プロセスの終了
• レジストリキーの列挙
• レジストリキーの作成
• レジストリキーの削除
• レジストリキーのコピー
• レジストリ値の列挙
• レジストリ値の変更
• レジストリ値の削除
• スクリーンキャプチャ
• サービスの削除
• サービスの列挙
• サービス情報の取得
• サービスの更新
• サービスの開始
• リモートシェルの実行
• データベースサーバへの接続とSQLステートメントの実行
• Telnetサーバのホスト

マルウェアが作成する以下のファイルも「BKDR_PLUGX.DO」として検出されます。

• %User Temp%\CommFunc.dll
• %User Temp%\CommFunc.jax
• %All Users Profile%\Camera\CommFunc.dll
• %All Users Profile%\Camera\CommFunc.jax

マルウェアが受け取る以下のパラメータは、ファイアウォールを回避するために利用されます。

• -k

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。