BKDR_PUSHDO.AWA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、また、スパム活動の過程で、メッセージを作成します。 マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\cofugpobomxy.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• goqcgc85589
• cofugpobomxy

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

• svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
cofugpobomxy = "%User Profile%\cofugpobomxy.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
cofugpobomxyzap = "{random values}"

感染活動

マルウェアは、以下のいずれかのSMTPサーバを使用します。

• smtp.compuserve.com
• mail.airmail.net
• smtp.directcon.net
• smtp.sbcglobal.yahoo.com
• smtp.mail.yahoo.com
• smtp.live.com

バックドア活動

マルウェアは、メールを作成し、自身のスパム活動に利用します。

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute files
• Get OS Version
• Get System Information
• Get Network Information
• Retrieve Spam Configuration/Content

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}1.{BLOCKED}p.messagingengine.com

その他

マルウェアが実行するコマンドは、以下のとおりです。

• ファイルのダウンロードおよび実行
• OSのバージョンの取得
• システム情報の取得
• ネットワーク情報の取得
• スパムの設定／内容の取得

マルウェアは、以下のURLへランダムなGETリクエストのアクセスを実行し、外部接続を隠ぺいします。

• 4pipp.com
• accel.lt
• aciuba.com.br
• acsmedioambiente.com
• adultlivechat.us
• aethora.com
• agrarno.ru
• aipi.co.nz
• al-mawared.com
• appelfarm.org
• arckepesajandek.hu
• area72aa.org
• ＜省略＞j.co.jp
• atr-technologies.com
• avant-ime.com
• avisay.com
• beechwoodmetalworks.com
• berkshirebusiness.org
• bethisraelcenter.org
• bigtopmultimedia.com
• biurimex.pl
• bocr.cz
• brijindia.com
• business-edge.com
• ＜省略＞u.com
• capitalcitytuxedo.com
• cgc-england.com
• childscope.com
• chocolatecovers.com
• choice-select.com
• coe.pku.edu.cn
• coketh.com
• colourprint.nl
• courtney.ca
• csmbc.org
• d-j-b.net
• d4drmedia.com
• dbcomponents.com
• debtrescueusa.com
• denville.ca
• dithd.com
• djkentaro.com
• dormfantasies.com
• e-storming.com
• easyformations.net
• egao.net
• enzoyrodrigo.com.br
• eomc.net
• eurasia.it
• ezmedi.com
• fastarchofamerica.com
• figabara.com
• fleshercorp.com
• floridadoubled.com
• fruitspot.co.za
• gablemarine.com
• gcs-cpa.com
• genmar.gen.tr
• ginalimo.com
• glmghotels.com
• graceweb.net
• graintrain.coop
• guberman.com.br
• hartmultimedia.com
• hifuken.com
• hinnenwiese.de
• hostphd.com.br
• hoyuu.com
• hpp-services.com
• iaiglobal.or.id
• ibcd.com.br
• icigrain.com
• ixtractor.com
• jeangatz.com
• jeansmate.co.jp
• justconnect.co.za
• kamaruka.vic.edu.au
• korta-sa.com
• krafthaus.com
• kurecci.or.jp
• kvadratoff.ru
• le-mariage.com
• leadershipforum.us
• lexjuridica.com
• link-list-uk.com
• malagacorp.com
• mandi-man.com
• mastergrp-spb.ru
• mattiussiecologia.com
• merceorti.com
• meridies.org
• meubles-jacquelin.com
• miltinio-teatras.lt
• minatech.net
• msasys.com
• nanfangcw.com
• nasz-sklep.pl
• nd-evenementiel.com
• neurotoxininstitute.com
• nichedictionary.com
• ompgp.co.jp
• osouji-school.com
• paintball.be
• paulrenna.com
• ＜省略＞sion.co.in
• phototype.com
• pixemia.com
• re-wakefield.co.uk
• realtechre.com
• rovoneli.com
• rueggeberg.com
• saios.net
• ＜省略＞or.pl
• servico-ind.com
• shs-sales.co.uk
• sigmametalsinc.com
• solutioncorp.com
• sortedorganizing.com
• spiti.org
• stecom.nl
• steelpennygames.com
• stepnet.de
• stormwildlifeart.com
• sullyfrance.com
• sun-ele.co.jp
• szostka.com
• taykon.com
• thedonaldsongroup.com
• theprintinghouseltd.co.uk
• tollefsondesign.com
• ＜省略＞meuse.com
• trenpalau.com
• trinity-works.com
• tss.org
• tutuji-saitama.com
• unitedearthgroup.com
• unslp.edu.bo
• vbwgz.com
• victoria.com.pl
• violadagamba.com
• westhillsstl.org
• wildrosemarketing.com
• wkhk.net
• www.traderush.com
• xuanxiao.com
• yamamoto-sr.com

マルウェアは、以下のURLへランダムなPOSTリクエストのアクセスを実行し、外部接続を隠ぺいします。

• acicinvestor.ca
• acmepacificrepairs.com
• actfactory.net
• agence-des-druides.com
• altonhousehotel.com
• ans-service.com
• areafor.com
• arquiteturadigital.com
• asterisk.com.sg
• audio-direkt.net
• austriansurfing.at
• authentica-travel.com
• bapasitaramsevatrust.org
• bigjohnsbeefjerky.com
• bredainternet.nl
• brookfarm.com.au
• cabooseonline.com
• cath4choice.org
• cbsprinting.com.au
• celebikalip.com.tr
• christybarry.com
• chscreative.com
• churchsupplies.net
• cksglobal.net
• combine.or.id
• coopsupermarkt.nl
• ctr4process.org
• doctsf.com
• eleterno.com
• empordalia.com
• espace-hotelier.com
• etcycles.com
• eyggroup.com
• fabianonline.de
• fraser-high.school.nz
• frederickallergy.com
• freepatentauction.com
• gamblingonlinemagazine.com
• geodecisions.com
• geothermusa.com
• gjk.com.pl
• golfpark-moossee.ch
• goodvaluecenter.com
• impex.com.pl
• isle-karnataka.org
• isp-h.com
• istanbultarim.com.tr
• kafrit.com
• konishi-hp.com
• macgregor.co.kr
• mail57.us2.mcsv.net
• manuyantralaya.com
• mastechn.com
• mojacar-vacaciones.com
• momonophoto.com
• myfilecenter.com
• ＜省略＞urus.com
• nataliecurtiss.com
• nazcapictures.com
• norakuroya.com
• nori-k.com
• nuritech.com
• optiver.com.au
• pbna.com
• pcpeds.com
• perc.ca
• photoclubs.com
• racknstackwarehouse.com.au
• rewardhits.com
• rodeoshow.com.au
• ryumachi-jp.com
• safetyconnection.ca
• sarahdavid.com
• sarpy.com
• schiedel.it
• screaminpeach.com
• sdlp.ie
• shakeyspizza.ph
• shbrazil.com
• sspackaginggroup.com
• structives.org
• sztartufi.com
• tavdi.com
• teasing-video.com
• telenavis.com
• tessera.co.jp
• theartofhair.com
• theautospas.com
• thesergery.com
• timeturkey.com
• toddpipe.com
• topex.ro
• totalearthcare.com.au
• upsilon89.com
• urantiaproject.com
• urayasu.net
• vanguardpkg.com
• woodlandhillwinery.com
• wsipowerontheweb.com
• www.traderush.com
• x-cellcommunications.de
• xing-group.com
• ziuabarbatului.ro

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。