BKDR_PLUGX.ZTBL-EC

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

この「PlugX」の亜種は、改ざんされた正規のオンランゲームで確認されました。これらのゲームは、正式発売されています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\tmp2B.tmp - detected as BKDR_PLUGX.ZTBL-EC, executable image, will be deleted
• %User Temp%\tmp2C.tmp - will be used to replace the loader and deleted
• %User Temp%\tmp2D.tmp - detected as BKDR_PLUGX.ZTBL-EC, dll image, will be deleted
• %Application Data%\dat2E.tmp - will be deleted
• %Application Data%\dat2F.tmp - will be deleted
• %Application Data%\dat30.tmp - will be deleted
• %System%\NtUserEx.dat
• %System%\NtUserEx.dll

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のプロセスを追加します。

• rundll32.exe
• svchost.exe

マルウェアは、以下のプロセスにコードを組み込みます。

• created rundll32.exe
• created svchost.exe

自動実行方法

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
DisplayName = "automaticallydevice"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
Description = "Monitoring of hardwares and automatically updates the device drivers"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
Type = "32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}\Parameters
ServiceDll = "%System%\NtUserEx.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}\Parameters
ServiceMain = sqlite3_aggregate_num

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Copy, move, rename, delete files
• Create directories
• Create files
• Enumerate files
• Execute files
• Get drive information
• Get file information
• Open and modify files
• Enumerate TCP and UDP connections
• Enumerate network resources
• Set TCP connection state
• Lock workstation
• Log off user
• Restart/Reboot/Shutdown system
• Display a message box
• Perfrom port mapping
• Enumerate processes
• Get process information
• Terminate processes
• Enumerate registry keys
• Create registry keys
• Delete registry keys
• Copy registry keys
• Enumerate registry entries
• Modify registry entries
• Delete registry values
• Screen capture
• Delete services
• Enumerate services
• Get service information
• Modify services
• Start services
• Perform remote shell
• Host Telnet server
• Connect to a database server and execute SQL statement
• Log keystrokes and active window

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}4.playdr2.tw/update?id={random} - {inaccessible}
• {BLOCKED}2.playdr2.tw:443/update?id={random}
• {BLOCKED}3.playdr2.tw:53/update?id={random} - {inaccessible}
• {BLOCKED}4.playdr2.tw:1080/update?id={random} - {inaccessible}

その他

マルウェアが作成する以下のファイルは、「BKDR_PLUGX.ZTBL-EC」として検出される実行可能なイメージファイルで、後で削除されます。

• %User Temp%\tmp2B.tmp

マルウェアが作成する以下のファイルは、ローダを交換するために利用され、その後削除されます。

• %User Temp%\tmp2C.tmp

マルウェアが作成する以下のファイルは、「BKDR_PLUGX.ZTBL-EC」として検出される拡張子DLLのイメージファイルで、その後削除されます。

• %User Temp%\tmp2D.tmp

マルウェアが作成する以下のファイルは、その後削除されます。

• %Application Data%\dat2E.tmp
• %Application Data%\dat2F.tmp
• %Application Data%\dat30.tmp

マルウェアは、以下の作成されたプロセスにコードを組み込みます。

• rundll32.exe
• svchost.exe

マルウェアが実行する不正リモートユーザからのコマンドは、以下のとおりです。

• ファイルのコピー、移動、名称の変更および削除
• ディレクトリの作成
• ファイルの作成
• ファイルの列挙
• ファイルの実行
• ドライブ情報の取得
• ファイル情報の取得
• ファイルの開示、変更
• キー入力操作情報およびアクティブなウインドウの記録
• TCPおよびUDP接続の列挙
• ネットワークリソースの列挙
• TCP接続状態の設定
• ワークステーションのロック
• ユーザのログオフ
• システムの再起動、リブート、およびシャットダウン
• メッセージボックスの表示
• ポートマッピングの実行
• プロセスの列挙
• プロセス情報の取得
• プロセスの終了
• レジストリキーの列挙
• レジストリキーの作成
• レジストリキーの削除
• レジストリキーのコピー
• レジストリ値の列挙
• レジストリ値の変更
• レジストリ値の削除
• スクリーンキャプチャ
• サービスの削除
• サービスの列挙
• サービス情報の取得
• サービスの変更
• サービスの開始
• リモートシェルの実行
• Telnetサーバのホスト
• データベースサーバへの接続とSQLステートメントの実行

""は、レジストリキーの"netsvcs"値を読み込むことで取得されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost.

ローダファイルは、他のファイルを作成後にマルウェアが実行する、改変されクリーンなコピーと交換されます。