BKDR_SYSIE
Rabasheeta
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
マルウェアは、実行後、自身を削除します。
詳細
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- {malware path}\cfg.dat
- %AppDataLocal%\Microsoft\iesys\cfg.dat
- %AppDataLocal%\Microsoft\iesys\iesys.exe
- {malware path}\del.bat
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、以下のフォルダを作成します。
- %AppDataLocal%\Microsoft\iesys
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path}\{malware filename}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
iesys = "%AppDataLocal%\Microsoft\iesys\iesys.exe"
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Capture screenshots
- Download files
- Upload files
- Enumerate files and folders
- Execute files
- Get default Internet browser
- Navigate and open a URL in a hidden browser
- Log user keystrokes and mouse clicks
- Update self
- Update configuration file
- Update bulletin thread used
- Sleep for a specified amount of time
- Remove self from system
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}k.{BLOCKED}t.me/upld.php
- http://{BLOCKED}s.{BLOCKED}or.jp/bbs/rawmode.cgi/{boardcategory}/{bbsID}/{threadID}/
- http://{BLOCKED}s.{BLOCKED}or.jp/bbs/write.cgi/{boardcategory}/{bbsID}
- http://{BLOCKED}s.{BLOCKED}or.jp/bbs/write.cgi/study/11825/
- http://{BLOCKED}s.{BLOCKED}or.jp/bbs/write.cgi/music/27190/
マルウェアは、実行後、自身を削除します。