BKDR_POISON

これは、複数の「BKDR_POISON」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、添付ファイルに正規のプログラムのアイコンを用いて、無害なファイルを装います。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 5-18 rat
• 7-05'rat
• q's rat
• 9-15'rat
• admin
• 9-7'rat
• )!VoqA.l4
• 6as4d

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random GUID}
StubPath = "{malware path and file name"

感染活動

マルウェアは、添付ファイルに以下のプログラムアイコンを使用します。

• Microsoft Word
• Flash

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}rus.sytes.net
• {BLOCKED}4.{BLOCKED}4.215.58
• {BLOCKED}irus-groups.com
• {BLOCKED}n.rm6.org
• {BLOCKED}ir.no-ip.org
• {BLOCKED}o.3322.org
• www.{BLOCKED}4rt.org

マルウェアは、以下のレジストリ値にアクセスすることによって、既定のWebブラウザを問い合わせます。

HKEY_CLASSES_ROOT\http\shell\open\command

そして、隠しWebブラウザのプロセス（例：iexplore.exe）を実行します。さらにマルウェアは、そのプロセスに自身のバックドア活動を含むコードを挿入します。

マルウェアは、以下の機能を備えています。

• スクリーン、音声、Webカメラの画像の取得
• ファイルの削除、検索およびアップロード
• リモートコードをダウンロードし、正規のプロセスに挿入
• キー入力操作情報およびアクティブなウィンドウの記録
• プロセスおよびサービスの管理
• レジストリ値の変更および検索
• シェルコマンドの実行
• コンピュータに関する情報（IPアドレス、コンピュータ名、ユーザ名、OSのバージョン）の送信
• マルウェアの更新／アンインストール
• アクティブなウィンドウおよびポートの確認および終了

その他

マルウェアは、RAR形式の自己解凍型アーカイブ（拡張子SFX）に含まれ、Eメールに添付されてコンピュータに侵入します。

このSFXファイルは、以下のいずれか、またはそれ以外のファイル名としてこのマルウェアを作成し、実行します。

• %User Temp%\anti.exe
• %User Temp%\anti15.exe
• %User Temp%\delete.exe
• %User Temp%\forget.exe
• %User Temp%\fuck.exe
• %User Temp%\sa.exe
• %User Temp%\so.exe
• %User Temp%\t120k.exe
• %User Temp%\xx.exe
• %User Temp%\xxxx.exe

（註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。）

また、このSFXファイルは、以下のいずれかの暗号化されたコンポーネントファイルを作成します。

• %User Temp%\815anti.txt
• %User Temp%\anti.txt
• %User Temp%\hol.txt
• %User Temp%\msvc000001a.txt
• %User Temp%\offer.txt
• %User Temp%\ophcrack.txt
• %User Temp%\query.txt

（註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。）

実行されると、マルウェアは、感染コンピュータのアカウントユーザが、管理者権限を保有しているかを確認します。

感染コンピュータのアカウントユーザが管理者権限を保有している場合、マルウェアは、自身のコピーを代替データストリーム（ADS）へ作成、または＜Windowsシステムフォルダ＞内の物理ファイルとして自身のコピーを作成します。作成されるコピーのファイル名は検体によって変化します。

• %System%:mstrc.scr
• %System%:mstseca.exe
• %System%:msvcr71.exe
• %System%:secrm.scr
• %System%\lsyae.exe
• %System%\msvc81.exe
• %System%\sysmrc.exe
• %System%\winsys.exe

（註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。）

感染コンピュータのアカウントユーザが管理者権限を保有してない場合、マルウェアは、以下のいずれかとして自身のコピーを作成します。

• %User Profile%\Application Data\mscyv.exe
• %User Profile%\Application Data\mstrc.scr
• %User Profile%\Application Data\secrm.scr
• %User Profile%\Application Data\winsys.exe

（%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。）

マルウェアは、暗号化されたコンポーネントファイルを以下としてコピーします。

• %Program Files%\Common Files\ODBC\odbc.DAT
• %Program Files%\Common Files\ODBC\ODUBC.DLL
• %Program Files%\NetMeeting\netsa.dll
• %Program Files%\Outlook Express\msvc7.dll
• %System%\jql.sys
• %Windows%\java\classes\JQB.dll
• %Windows%\java\java.dll
• %Windows%\system\JQB.dll
• %Windows%\system\VER.SYS

マルウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• Explorer.exe

これは、複数の「BKDR_POISON」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。