BKDR_SINOWAL.COP

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %All Users Profile%\Application Data\{random number 1}\{random number}.dat - contains hex value of its file name
• %All Users Profile%\Application Data\{random number 1}\{random number}.dll - contains hex value of its file name
• %All Users Profile%\Application Data\{random number 1}\{dat name}.dat - config file
• %All Users Profile%\Application Data\{random number 1}\{dll name}.dll - also detected as BKDR_SINOWAL.COP

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• PJYTYOCEBHBSCAJFEJTLTHSCBHEBY
• KDACHIQCQPAXYBVCXUPYXFYCSQWR
• KDACHIQCQPAXYBVCXUPYXFYCSQWR-{number}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InprocServer32
(Default) = "%All Users Profile%\Application Data\{random number 1}\{dll name}.dll"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{GUID}\InprocServer32
(Default) = "%All Users Profile%\Application Data\{random number 1}\{dll name}.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
{value name} = "{GUID}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "%All Users Profile%\Application Data\{random number 1}\{dll name}.dll"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInitDLLs = "1"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows
RequireSignedAppInit_DLLs = "0"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download arbitrary files

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}stingmultiformat.org/search2?fr=altavista&itag=ody&q=443b40b41d25b91dd9a4104278083c14%2Cf4f535b835f5429b&kgs=1&kls=0&p={parameter}
• http://{BLOCKED}.{BLOCKED}.109.201/search2?fr=altavista&itag=ody&q=443b40b41d25b91dd9a4104278083c14%2Cf4f535b835f5429b&kgs=1&kls=0&p={parameter}
• http://www.{BLOCKED}rtsgm.com/search2?fr=altavista&itag=ody&q=443b40b41d25b91dd9a4104278083c14%2Cf4f535b835f5429b&kgs=1&kls=0&p={parameter}

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• List of running processes
• Applications installed in the system (found in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall)

ただし、情報公開日現在、このサーバには接続できません。

その他

マルウェアは、以下のブラウザのプロセス上でプログラム "Trusteer Rapport" のスレッドが実行されていることを確認すると、そのスレッドを停止します。

• opera.exe
• chrome.exe
• firefox.exe
• iexplore.exe

マルウェアは、システム上でファイル "avgui.exe" が実行されていると、以下の内容が含まれたメッセージボックスを表示します。

Title: Thank you
Message: Thank you for using AVG Product!

{dll name}は、以下のいずれかです。

• mswd
• mscc
• msdr
• msdd
• msee
• wsse
• msseedir
• lmbd
• mmdd

{dat name}は、以下のいずれかです。

• jdlr
• elct
• nudr
• werr
• qnud
• xdor
• ccdxmmde
• vvve
• kdkd
• colu
• uloc
• drss
• rrxx
• du44
• xes2
• ii33
• ned9
• i3u4

{GUID}は、以下のいずれかです。

• {A12BEDCC-A901-4203-B4F2-ADCB957D1887}
• {212B3DCC-A901-4203-B4F2-ADCB957D1887}
• {312BFDCE-A901-4203-B4F2-ADCB957D1887}
• {F12BE2CC-A901-4203-B4F2-ADCB957D1887}
• {312BED3C-A901-4203-B4F2-ADCB957D1887}
• {118BEDCC-A901-4203-B4F2-ADCB957D1887}

{value name}は、以下のいずれかです。

• MSCPY
• CopierMircosoft
• MSCopy
• MicrosoftCopy
• WindowsCopy
• Copier

マルウェアは、以下のコマンドを使用して自身のDLLコンポーネントを実行します。

%System%\cmd.exe /c %System%\regsvr32.exe /s "%All Users Profile%\Application Data\{dll name}.dll"

マルウェアが作成する以下のファイルは、自身のファイル名のhex値を含みます。

• %All Users Profile%\Application Data\{random number 1}\{random number}.dat
• %All Users Profile%\Application Data\{random number 1}\{random number}.dll

マルウェアが作成する以下のファイルは、環境設定ファイルです。

• %All Users Profile%\Application Data\{random number 1}\{dat name}.dat

マルウェアが作成する以下のファイルも、「BKDR_SINOWAL.COP」として検出されます。

• %All Users Profile%\Application Data\{random number 1}\{dll name}.dll

マルウェアが実行するコマンドは、以下のとおりです。

• 任意のファイルのダウンロード

マルウェアがコマンド＆コントロール（C&C）サーバに通知する情報は、以下のとおりです。

• 実行中のプロセスのリスト
• 以下に存在するシステムにインストールされたアプリケーション
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall