BKDR_TOFSEE.YFY

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

• %User Temp%\{random number}.bat ← used to delete itself; deleted after execution
• %User Profile%\{random filename}.exe ← detected as Mal_BigTof

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.)

マルウェアは、以下のプロセスを追加します。

• svchost.exe

マルウェアは、以下のプロセスにコードを組み込みます。

• created svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSConfig = "%User Profile%\{random filename}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
DeviceControl
DevData0 = "{hex values}" ← used to save its config data

HKEY_CURRENT_USER\Software\Microsoft\
DeviceControl
DevData1 = "{hex values}" ← used to save its config data

HKEY_CURRENT_USER\Software\Microsoft\
DeviceControl
DevData2 = "{hex values}" ← used to save its config data

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{hex values}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• download spam template (urls, name, subject)
• send spam mails to the following mail servers:
  • mail.ru
  • google.com
  • yahoo.com
  • hotmail.com
  • aol.com
  • protection.outlook.com
• download and execute either of the following plugins:
  • plg_antibot
  • plg_ddos
  • plg_locs
  • plg_miner
  • plg_protect
  • plg_proxy
  • plg_smtp
  • plg_sniff
  • plg_spread1
  • plg_spread2
  • plg_sys
  • plg_text
  • plg_webb
  • plg_webm
• gathered and used email credentials from the following browsers, FTPs and email clients in sending messages

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}bgddtyh.biz
• {BLOCKED}hbyrukl.ch
• {BLOCKED}.{BLOCKED}.193.238
• {BLOCKED}.{BLOCKED}.146.217.143
• {BLOCKED}.{BLOCKED}.113.149
• {BLOCKED}.{BLOCKED}.132.183
• {BLOCKED}.{BLOCKED}0.208
• {BLOCKED}.{BLOCKED}.107.90
• {BLOCKED}.{BLOCKED}.82.36
• {BLOCKED}.{BLOCKED}.7.42
• {BLOCKED}.{BLOCKED}.101.121

情報漏えい

マルウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• 32BitFtp
• 3D-FTP
• AceBIT
• BitKinex
• BlazeFtp
• Bullet Proof FTP
• CoffeeCup
• Cryer WebSitePublisher
• Cyberduck
• Far Manager\Far2\Far
• FastTrack
• FileZilla Client
• FlashFXP 3
• FlashFXP 4
• FlashPeak BlazeFtp
• FreshFTP
• Frigate3
• FTP Commander
• FTP CONTROL
• FTP Explorer
• FTP Navigator
• FTP Now
• FTP++
• FTPClient
• FTPCON
• FTPGetter
• FTPInfo
• FTPRush
• FTPVoyager
• FTPWare COREFTP
• Ghisler Total Commander
• Ghisler Windows Commander
• Global Downloader
• GlobalSCAPE CuteFTP
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP 8 Professional
• GlobalSCAPE CuteFTP Lite
• GlobalSCAPE CuteFTP Pro
• GoFTP
• GPSoftware Directory Opus
• INSoftware NovaFTP
• Ipswitch WS_FTP
• LeapWare LeapFTP
• LeechFTP
• LinasFTP
• Martin Prikryl WinSCP
• MAS-Soft FTPInfo
• My FTP
• NCH Software ClassicFTP
• NCH Software Fling
• NetDrive
• NetSarang
• NexusFile
• Nico Mak Computing WinZip FTP
• Notepad++\NppFTP
• RhinoSoft
• Robo-FTP 3.7
• SimonTatham PuTTY
• SiteDesigner
• SmartFTP
• SoftX
• Sota FFFTP
• Staff-FTP
• TurboFTP
• UltraFXP
• VanDyke SecureFX
• Visicom Media
• WebDrive
• WinFTP

マルウェアは、保存されている以下のEメール認証情報を収集します。

• RimArts
• Microsoft Outlook
• Pocomail
• IncrediMail
• The Bat! by RITLabs.
• Windows Live Mail
• Windows Mail

マルウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Bromium
• ChromePlus
• Chromium
• Comodo
• Epic
• FastStone Browser
• Google Chrome
• K-Meleon
• Microsoft Internet Explorer
• Mozilla Firefox
• Mozilla SeaMonkey
• Mozilla Thunderbird
• Nicrome
• Opera Software
• RockMelt
• Yandex

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• microsoft.com
• yahoo.com
• google.com
• mail.ru

マルウェアは、実行後、自身を削除します。

マルウェアが作成する以下のファイルは、実行後削除される、マルウェア自身の削除に利用されるファイルです。

• %User Temp%\{random number}.bat

マルウェアが作成し、実行する以下のファイルは、「MAL_BIGTOF」として検出されます

• %User Profile%\{random filename}.exe

マルウェアは、作成されたプロセス"svchost.exe"に、コードを組み込みます。

マルウェアが追加する以下のレジストリ値は、自身の環境設定データを保存するために利用されます。

• HKEY_CURRENT_USER\Software\Microsoft\
  DeviceControl
  DevData0 = "{hex values}"

• HKEY_CURRENT_USER\Software\Microsoft\
  DeviceControl
  DevData1 = "{hex values}"

• HKEY_CURRENT_USER\Software\Microsoft\
  DeviceControl
  DevData2 = "{hex values}"

• スパムメールのテンプレートのダウンロード（URL、名称、件名）
• 以下のメールサーバへ、スパムメールを送信
  • mail.ru
  • google.com
  • yahoo.com
  • hotmail.com
  • aol.com
  • protection.outlook.com
• 以下のプラグインのいずれかをダウンロードし、実行します。
  • plg_antibot
  • plg_ddos
  • plg_locs
  • plg_miner
  • plg_protect
  • plg_proxy
  • plg_smtp
  • plg_sniff
  • plg_spread1
  • plg_spread2
  • plg_sys
  • plg_text
  • plg_webb
  • plg_webm
• 上述のWebブラウザからのEメールの認証情報、送信メッセージ内のFTPおよびEメールクライアントを収集および利用

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。