BKDR_PLUGX.DUKPZ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• %Program Files%\Internet Explorer\iexplorer.exe
• %System%\svchost.exe

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{random}
• JNuhUYgFTsssssss

マルウェアは、以下のプロセスにコードを組み込みます。

• created iexplorer.exe
• created svchost.exe

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Copy, move, rename, delete files
• Create directories
• Create files
• Enumerate files
• Execute files
• Get drive information
• Get file information
• Open and modify files
• Log keystrokes and active window
• Enumerate TCP and UDP connections
• Enumerate network resources
• Set TCP connection state
• Lock workstation
• Log off user
• Restart/Reboot/Shutdown system
• Display a message box
• Perform port mapping
• Enumerate processes
• Get process information
• Terminate processes
• Enumerate registry keys
• Create registry keys
• Delete registry keys
• Copy registry keys
• Enumerate registry entries
• Modify registry entries
• Delete registry values
• Screen capture
• Delete services
• Enumerate services
• Get service information
• Modify services
• Start services
• Perform remote shell
• Host Telnet server
• Connect to a database server and execute SQL statement

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}roomimage.isasecret.com:443/{Hex Values}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

• {Current Malware Path}\FirefoxNotify.exe <- non-malicious, loads the dll component
• {Current Malware Path}\bz.stf <- malicious encrypted configuration, also detected as BKDR_PLUGX.DUKPZ

マルウェアが実行するコマンドは以下のとおりです。

• ファイルのコピー、移動、改称、削除
• ディレクトリの作成
• ファイルの作成
• ファイルの列挙
• ファイルの実行
• ドライブ情報の取得
• ファイル情報の取得
• ファイルの開封および変更
• キー入力操作情報とアクティブなウインドウの記録
• TCPおよびUDP接続の列挙
• ネットワークリソースの列挙
• TCP接続の状態の設定
• ワークステーションのロック
• ユーザのログオフ
• コンピュータの再起動、リブート、シャットダウン
• メッセージボックスの表示
• ポートマッピングの実行
• プロセスの列挙
• プロセス情報の取得
• プロセスの終了
• レジストリキーの列挙
• レジストリキーの作成
• レジストリキーの削除
• レジストリキーのコピー
• レジストリ値の列挙
• レジストリ値の変更
• レジストリ値の削除
• スクリーンキャプチャ
• サービスの削除
• サービスの列挙
• サービス情報の取得
• サービスの更新
• サービスの開始
• リモートシェルの実行
• Telnetサーバのホスト
• データベースサーバへの接続とSQLステートメントの実行

マルウェアが自身の不正活動を実行するために必要な以下のファイルは、不正なDLLファイルを読み込みます。

• {Current Malware Path}\FirefoxNotify.exe

マルウェアが自身の不正活動を実行するために必要な以下のファイルは、暗号化された不正な環境設定ファイルで、「BKDR_PLUGX.DUKPZ」として検出されます。

• {Current Malware Path}\bz.stf

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。