BKDR_RESCOMS.YYWL

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

マルウェアは、感染コンピュータ上の特定の情報を収集します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Screens
• %Application Data%\remcos

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Remcos_Mutex_Inj
• remcos_jowruopvcmlbafo

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
EXEpath = {Hex Values}

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• “ping”
• “getdrives” - Get Drive list
• “listfiles” - List all files
• “open” - Open a File
• “download” - Get file/s from Affected Computer
• “upload” - Upload file/s to Affected Computer
• “delete”- Delete File/s from Affected Computer
• “rename” - Rename File/s from Affected Computer
• “newfolder” - Create new Directory
• “search” - Search a file from affected computer
• “Stopsearch” - stop searching files from affected computer
• “downloadfromurltofile”
• “downloadfromlocaltofile”
• “getproclist”
• “prockill” - terminates process
• “getwindows” - list all open application
• “closewindow” - minimize
• “maxwindow” - maximize
• “restorewindow” - switch application
• “closeprocfromwindow” - Terminate application
• “execcom” - Run command
• “consolecmd” - open cmd
• “openaddress” - open webpage
• “initializescrcap” - opens screen capture
• “freescrcap” - close screen capture
• “initklfrm” - open keylogger
• “startonlinekl” - start live keylogger
• “stoponlinekl” - stop live keylogger
• “getofflinelogs” - download logs from %Application Data%\remcos\logs.dat
• “autogetofflinelogs” - set affected computer to send logs automatically
• “deletekeylog” - deletes %Application Data%\remcos\logs.dat
• “Clearlogins” - deletes cookies and stored browser logins
• “getscrslist” - get screenshots from %Application Data%\Screens\
• “dwldscr” - get screenshot
• “initcamcap” - start capturing image from camera if available
• “freecamcap” - ends capturing image
• “miccapture” - start capturing voice if mic is available
• “stopmiccapture” - ends capturing voice
• “pwgrab” - gets user password
• “Deletefile” - deletespecificfile
• “Close” - exits monitoring the affected computer
• “Uninstall” - remove startup registry entries and creates and execute
• a batch file in %User Temp%\ that will delete the host file
• “updatefromurl” - downloads file from internet, update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
• “updatefromlocal” - gets file from remote user update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
• “msgbox” - display a messagebox to affected computer
• “keyinput” - sends keyboard input
• “mclick” - sends mouse click
• “OSpower” - Shutdown affected Computer
• “getclipboard” - copy clipboard data
• “setclipboard” - set clipboard data
• “emptyclipboard”- clear clipboard data
• “dlldata” - sends dll to affected computer and loads it directly in the memory
• “dllurl” - downloads dll from url to affected computer and loads it directly in the memory
• “initfun” - do joke commands to affected computer
• “initremscript” - can create a VBS/JS/Bat script then execute to affected computer
• “initregedit” - can manipulate registry entries

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

作成活動

マルウェアは、以下のファイルを作成します。

• %Application Data%\Screens\{ascending number}.png -> Screenshots
• %Application Data%\remcos\logs.dat -> log file

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• User Name
• Computer Name
• IP address
• OS Version
• Keyboard strokes
• Computer Activity via Screenshots & Logs

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• “ping”
• “getdrives” - ドライブリストを取得する
• “listfiles” - すべてのファイルを一覧表示する
• “open” - ファイルを開く
• “download” - 感染コンピュータからファイルを取得する
• “upload” - 感染コンピュータにファイルをアップロードする
• “delete”- 感染コンピュータからファイルを削除する
• “rename” - 感染コンピュータ内のファイル名を変更する
• “newfolder” - 新しいディレクトリを作成する
• “search” - 感染コンピュータ内のファイルを検索する
• “Stopsearch” - 感染コンピュータ内のファイル検索を停止する
• “downloadfromurltofile”
• “downloadfromlocaltofile”
• “getproclist”
• “prockill” - プロセスを終了する
• “getwindows” - 開いているすべてのアプリケーションを一覧表示する
• “closewindow” - 最小化する
• “maxwindow” - 最大化する
• “restorewindow” - アプリケーションを切り替える
• “closeprocfromwindow” - アプリケーションを終了する
• “execcom” - コマンドを実行する
• “consolecmd” - cmdを開く
• “openaddress” - Webページを開く
• “initializescrcap” - スクリーンキャプチャを開く
• “freescrcap” - スクリーンキャプチャを閉じる
• “initklfrm” - キーロガーを開く
• “startonlinekl” - ライブキーロガーを起動する
• “stoponlinekl” - ライブキーロガーを停止する
• “getofflinelogs” - %Application Data%\remcos\logs.dat　からログをダウンロードする
• “autogetofflinelogs” - 感染コンピュータが自動的にログを送信するように設定する
• “deletekeylog” - %Application Data%\remcos\logs.dat　を削除する
• “Clearlogins” - Cookieおよび保存されたブラウザログイン情報を削除する
• “getscrslist” - get screenshots from %Application Data%\Screens\ からスクリーンショットを取得する
• “dwldscr” - スクリーンショットを取得する
• “initcamcap” - 利用可能であれば、カメラから画像キャプチャを開始する
• “freecamcap” - 画像キャプチャを終了する
• “miccapture” - マイクが利用可能であれば音声キャプチャを開始する
• “stopmiccapture” - 音声キャプチャを終了する
• “pwgrab” - ユーザーのパスワードを取得する
• “Deletefile” - 特定のファイルを削除する
• “Close” - 感染コンピュータの監視を終了する
• “Uninstall” - 起動レジストリエントリを削除し、%User Temp%\ 内にバッチファイル作成して実行し、ホストファイルを削除する
• “updatefromurl” - インターネットからファイルをダウンロードし、レジストリエントリを更新し、％User Temp％\内にバッチファイルを作成および実行して、すべての古いファイルを置き換える
• “updatefromlocal” - リモートユーザのアップデートレジストリエントリからファイルを取得し、％User Temp％\内にバッチファイルを作成および実行して、すべての古いファイルを置き換える
• “msgbox” - 感染コンピュータにメッセージボックスを表示する
• “keyinput” - キーボード入力を送信する
• “mclick” - マウスクリックを送信する
• “OSpower” - 感染コンピュータをシャットダウンする
• “getclipboard” - クリップボードのデータをコピーする
• “setclipboard” - クリップボードのデータを設定する
• “emptyclipboard”- クリップボードのデータを削除する
• “dlldata” - 感染コンピュータにDLLを送信し、メモリに直接ロードする
• “dllurl” - URLから感染コンピュータにDLLをダウンロードし、メモリに直接ロードする
• “initfun” - 感染コンピュータに対してジョークコマンドを実行する
• “initremscript” - VBS / JS / Batスクリプトを作成し、感染コンピュータで実行することができる
• “initregedit” - レジストリエントリを操作することができる

マルウェアは、以下のファイルを作成します。

• %Application Data%\Screens\{昇順番号}.png →スクリーンショット
• %Application Data%\remcos\logs.dat →ログファイル

マルウェアは、感染コンピュータから以下の情報を収集します。

• ユーザ名
• コンピュータ名
• IPアドレス
• オペレーティングシステム（OS）のバージョン情報
• キー入力操作
• スクリーンショットとログから確認されるコンピュータの活動

マルウェアは、以下を実行します。

• マルウェアは、以下のプロセスがシステムで実行されていることが判明した場合、スリープします。
  • Process Explorer
  • Process Monitor
• マルウェアは、自身が仮想マシン内で実行されているかを以下の存在によって確認し、確認された場合、自身を終了します。
  • SbieDll.dll
  • VBOX
• マルウェアは、テストプログラムに偽装しています。