解析者: John Anthony Banes   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 45,056 bytes
タイプ DLL
メモリ常駐 はい
発見日 2018年4月17日
ペイロード システム情報の収集, システムセキュリティへの感染活動, URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • svchost.exe

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Hc5973HT

マルウェアは、以下のプロセスにコードを組み込みます。

  • created svchost.exe

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Get System Information
    • Operating System Version
    • System Type (32-bit or 64-bit)
    • Memory
    • Language
    • Computer Name
    • IP Address
  • Upload/Download files
  • Update itself
  • List drives, files and folders
  • Delete files
  • Create/Read/Write to a *.tmp file
  • Execute commands using command prompt
  • Execute files
  • Terminate processes

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • securityonline.{BLOCKED}u.net

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

  • %ProgramData%\Setup32\AMSP\update\iau_sdk\iau_x32_x64.ini - encrypted component
  • TiPreAU.exe - nonmalicious, loads this malware and decrypts and executes the file iau_x32_x64.ini in memory.

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

<補足>

インストール

マルウェアは、追加した以下のプロセスにコードを組み込みます。

  • svchost.exe

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • コンピュータ情報の収集
    • オペレーティングシステム(OS)のバージョン情報
    • システムタイプ(32ビットか64ビットか)
    • メモリ
    • 言語
    • コンピュータ名
    • IPアドレス
  • ファイルのアップロードおよびダウンロード
  • 自身の更新
  • ドライブ、ファイル、フォルダの一覧表示
  • ファイルの削除
  • *.tmp file の作成/読み込み/書き込み
  • コマンドプロンプトを用いてコマンドを実行する
  • ファイルの実行
  • プロセスの終了

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要です。

  • %ProgramData%\Setup32\AMSP\update\iau_sdk\iau_x32_x64.ini
    ※暗号化されたコンポーネント
  • TiPreAU.exe
    ※無害なファイル。マルウェア(BKDR_REDLEAVES.LCLE)を読み込み、"iau_x32_x64.ini" ファイルを復号し、メモリ内で実行します。

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"で、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.198.03
初回 VSAPI パターンリリース日 2018年4月18日
VSAPI OPR パターンバージョン 14.199.00
VSAPI OPR パターンリリース日 2018年4月19日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_REDLEAVES.LCLE」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください