BKDR_PUDSHELL.B

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %System%\c_130475.NLS

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {MSC.W1758F-AA438F129C.CFF}

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Service = "SRMsvr"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Legacy = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
ConfigFlags = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
DeviceDesc = "Security Object Audit"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control
*NewlyCreated* = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control
ActiveService = "SRMsvr"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ImagePath = "{malware path}\{malware name}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
DisplayName = "Security Object Audit"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Description = "Responsible for performing security access checks on objects, manipulating privileges (user rights), and generating any resulting security audit messages."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Security
Security = "{values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
0 = "Root\Legacy_SRMSVR\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
NextInstance = "1"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Remote command prompt

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}ll.eset-service.com:4624

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• Host name

ただし、情報公開日現在、このWebサイトにはアクセスできません。