BKDR_PROXY.TORYQ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %Application Data%\tcimue.exe ← copy of %System%\cmd.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• CXWE34SXIE

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Start or terminate processes or threads
• Download and execute arbitrary files
• Perform remote shell commands
• Enumerate files and directories
• Read files
• Get user name
• Get computer name
• Get OS type and version
• Get processor information
• Get drive information
• Get and use proxy settings
• Sleep for an amount of time

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://bueam.{BLOCKED}brea.com/{uri}.asp?{random string}{random numbers}

情報漏えい

マルウェアは、以下の情報を収集します。

• User name
• Computer name
• OS type and version
• Processor information
• Drive information

その他

マルウェアが作成する以下のファイルは、"%System%\cmd.exe"のコピーです。

• %Application Data%\tcimue.exe

マルウェアが実行するコマンドは、以下のとおりです。

• プロセスまたはスレッドの開始／終了
• 任意のファイルのダウンロードおよび実行
• リモートシェルコマンドの実行
• ファイルおよびディレクトリの列挙
• ファイルの読み込み
• ユーザ名の取得
• コンピュータ名の取得
• オペレーションシステム（OS）のタイプと種類
• プロセッサ情報の取得
• ドライブ情報の取得
• プロキシ設定の取得および利用
• 一定時間スリープ

マルウェアが収集する情報は、以下のとおりです。

• ユーザ名
• コンピュータ名
• OSのタイプと種類
• プロセッサ情報
• ドライブ情報

マルウェアがアクセスする上述のURL内の"{uri}"は、以下のリストから2つかそれ以上の文字列から成る可能性があります。それらの文字列は、"/"で区切られます。

• field
• email
• name
• nickname
• phone
• sort
• fields
• nickname
• name
• first
• last
• pagesize

また、文字列"{random string}"は、以下のいずれかとなる可能性があります。

• vid=
• pid=
• mid=
• wif=
• address=
• article=

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。