BKDR_VAWTRAK.DSW

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "regsvr32.exe "{malware path}\{malware filename}.{malware extension name}""

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\CLSID\{CLSID 1}

HKEY_CLASSES_ROOT\CLSID\{CLSID 2}

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 1}

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{CLSID 2}
{CLSID 4} = "{encrypted form of config data}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}
{CLSID 4} = "{encrypted form of config data}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CLASSES_ROOT\CLSID\{CLSID 1}
#cert = "{hex value}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 1}
#cert = "{hex value}"

HKEY_CLASSES_ROOT\CLSID\{CLSID 2}
{CLSID 3} = "{hex value}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}
{CLSID 3} = "{hex value}"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Receive config data it will use for its information stealing routine
• Update itself
• Download and execute files
• List active processes
• Perform remote shell
• Execute file
• Keylog
• Capture Screenshot
• Monitor sound
• Start/Stop process (iexplore.exe, firefox.exe, outlook.exe, explorer.exe, cmd.exe, taskmgr.exe)
• Inject to process
• Get clipboard data

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{malicious domain}/viewforum.php?f={value}&sid={value}
• http://{malicious domain}/posting.php?mode=reply&f={value}&t={value}&sid={value}
• http://{malicious domain}/posting.php?mode=post&f={value}&sid={value}

情報漏えい

環境設定ファイルは、以下の情報を含んでいます。

• websites to monitor
• URL source of the codes to use for web injects

マルウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• 3D-FTP
• AceBIT
• AceFTP
• ALFTP
• BitKinex
• BlazeFtp
• BulletProof FTP
• ClassicFTP
• CoffeeCup Software
• Cyberduck
• DeluxeFTP
• Directory Opus
• EasyFTP
• ExpanDrive
• FarManager
• FFFTP
• FileZilla
• FlashFXP
• Fling FTP
• FreshFTP
• FTP Commander
• FTP Explorer
• FTP Navigator
• FTPGetter
• FTPNow
• FTPRush
• FTPShell
• FTPVoyager
• FTPWare
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP
• GlobalSCAPE CuteFTP 8 Professional
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP Lite
• GlobalSCAPE CuteFTP Pro
• GoFTP
• LeapFTP
• LeechFTP
• LinasFTP
• My FTP
• NetDrive
• NetSarang
• NexusFile
• NovaFTP
• PuTTY
• RhinoSoft
• Robo-FTP
• SecureFX
• SmartFTP
• SoftX FTP
• Staff-FTP
• Titan FTP
• Total Commander
• TurboFTP
• UltraFXP
• WinFTP
• WinSCP
• WS_FTP

マルウェアは、保存されている以下のEメール認証情報を収集します。

• IncrediMail
• Outlook
• PocoMail
• The Bat!
• Thunderbird
• Windows Live Mail
• Windows Mail

マルウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Epic Browser
• Flock
• K-Meleon
• Mozilla Firefox
• SeaMonkey

その他

マルウェアが実行するコマンドは、以下のとおりです。

• 自身の情報収集活動に利用する環境設定データを受信
• 自身の更新
• ファイルのダウンロードおよび実行
• アクティブなプロセスの列挙
• リモートシェルの実行
• ファイルの実行
• キー入力情報の記録
• スクリーンショットの取得
• 音声の監視
• プロセスの開始／終了（iexplore.exe, firefox.exe, outlook.exe, explorer.exe, cmd.exe, taskmgr.exe）
• プロセスへの挿入
• クリップボードのデータの取得

環境設定ファイルが含む情報は、以下です。

• 監視するWebサイト
• Webインジェクションに利用するコードのURLソース

上述の"{malicious domain}"は、以下となります。

• {BLOCKED}.{BLOCKED}.184.239
• {BLOCKED}is.com
• {BLOCKED}ng.com
• {BLOCKED}rda.com
• {BLOCKED}ka.com
• {BLOCKED}.{BLOCKED}.192.106
• {BLOCKED}nova.com
• {BLOCKED}ka.com
• {BLOCKED}.{BLOCKED}.192.110
• {BLOCKED}ag.com
• {BLOCKED}.{BLOCKED}.51.216
• {BLOCKED}ixand.net
• {BLOCKED}.{BLOCKED}.233.91
• {BLOCKED}ad.com
• {BLOCKED}lon.com
• {BLOCKED}.{BLOCKED}.233.97
• {BLOCKED}3.com
• {BLOCKED}z.com
• {BLOCKED}lpane.com

情報公開日現在、"{BLOCKED}ad.com"のみがアクセス可能です。

マルウェアは、"%Program Files%" および "%All Users Profile%\Application Data"内の以下のセキュリティ関連ディレクトリの存在を確認します。

• a-squared Anti-Malware
• a-squared HiJackFree
• Agnitum
• Alwil Software
• AnVir Task Manager
• ArcaBit
• AVAST Software
• AVG
• avg8
• Avira GmbH
• Avira
• BitDefender
• BlockPost
• Common Files\Doctor Web
• Common Files\G DATA
• Common Files\P Tools
• Common Files\Symantec Shared
• DefenseWall
• DefenseWall HIPS
• Doctor Web
• DrWeb
• ESET
• f-secure
• FRISK Software
• G DATA
• K7 omputing
• Kaspersky Lab Setup Files
• Kaspersky Lab
• Lavasoft
• Malwarebytes
• Malwarebytes' Anti-Malware
• McAfee
• McAfee.com
• Microsoft Security Client
• Microsoft Security Essentials
• Microsoft\Microsoft Antimalware
• Norton AntiVirus
• Online Solutions
• P Tools Internet Security
• P Tools
• Panda Security
• Positive Technologies
• Sandboxie
• Security Task Manager
• Spyware Terminator
• Sunbelt Software
• Symantec
• Trend Micro
• UAenter
• Vba32
• Xore
• Zillya Antivirus

上述のセキュリティ関連ディレクトリの1つが確認されると、マルウェアは、以下のレジストリ値を作成し、そのセキュリティ関連製品を強制的に制限されたユーザ権限下で実行します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{generated GUID for the AV software}
ItemData = {AV software path}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{generated GUID for the AV software}
SaferFlags = 0

マルウェアは、以下のプロセスに挿入されると、自身の不正活動を実行します。

• chrome.exe
• explorer.exe
• firefox.exe
• iexplore.exe

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。