解析者: Rika Joi Gregorio   
 別名:

Backdoor:Win32/Plugx.A(Microsoft), W32/PLUGX.DUKKT!tr.bdr(Fortinet)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 581,632 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年3月3日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\{random}\mpsvc.dll
  • %Application Data%\{random}\MsMpEng.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\{random}

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

マルウェアは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

  • %User Startup%\PolishKLayout.lnk - points to %Application Data%\{random}\MsMpEng.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\MJ

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
YOSHIDA

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
YOSHIDA\Settings

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\MJ
CLSID = "{hex value}"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.141.215/update?id={random}