BKDR_WINNTI.OWMT

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\KJIEJUI7A.AX

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のファイルを作成します。

• %User Temp%\_guid.dat - contains created GUID for the infected system

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のファイルを作成し実行します。

• %System%\metro.dll - also detected as BKDR_WINNTI.OWMT
• {variable path}\libglesv32.dll - also detected as BKDR_WINNTI.OWMT

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下の無害なファイルを作成します。

• {variable path}\wuauclt.exe - copy of legitimate rundll32.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

{KEY}\Software\Microsoft\
Windows\CurrentVersion\Run
vmCheck = ""{variable path}\wuauclt.exe" "{variable path}\libglesv32.dll",vmCheck"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}
Start = "2"

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name}\Parameters
ServiceDll = "%System%\metro.dll"

(註：変更前の上記レジストリ値は、「{service path and file name}」となります。)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

{KEY}\Software\Classes
CDrivce = "{encrypted binary data}"

{KEY}\Software\Classes
Drivce = "{SOFTRES Resource of the malware}"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and load plugins - saved as %User Temp%\{random}_p.dat or %User Temp%\{username}.dat

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}w.{BLOCKED}gle.com:8080

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアは、感染コンピュータの作成されたGUIDを含む以下のファイルを作成します。

• %User Temp%\_guid.dat

マルウェアが作成する以下のファイルは、「BKDR_WINNTI.OWMT」として検出されます。

• %System%\metro.dll
• {variable path}\libglesv32.dll

マルウェアが作成する以下の無害なファイルは、正規の"rundll32.exe"のコピーです。

• {variable path}\wuauclt.exe

マルウェアは、不正リモートユーザからのプラグインのダウンロードおよび読み込みのコマンドを実行し、このファイルは以下として保存されます。

• "%User Temp%\{random}_p.dat"または"%User Temp%\{username}.dat"

「{variable path}」は、以下となります。

• %Application Data%\Microsoft (管理者権限がない場合)
• %Program Files%\Common Files\System (管理者権限がある場合)

「{KEY}」は、以下となります。

• HKEY_CURRENT_USER (管理者権限がない場合)
• HKEY_LOCAL_MACHINE (管理者権限がある場合)

「{service name}」は、以下となります。

• WmdmPmSN (Windows version 5.1+*の場合)
• AppMgmt (Windows 7の場合)

• 「{service path and file name}」は、以下となります。
  • %System%\mspmsnsv.dll (Windows version 5.1+*の場合)
  • %System%\appmgmts.dll (Windows 7の場合)

Windows version 5.1+”は、以下となります。

• Windows XP
• Windows XP Professional x64 Edition
• Windows Server 2003
• Windows Home Server
• Windows Server 2003 R2

特定のファイルおよびレジストリ値は、以下のいずれかの状況が発生した時にのみ作成されます。

1. 現在のユーザが管理者権限を持っていない場合
2. マルウェアが、ファイル"%System%\metro.dll"の作成に失敗した場合
3. マルウェアが、上述のOS以外で実行されている場合

作成されるファイルおよびレジストリ値は、以下となります。

• ファイル
  • {variable path}\libglesv32.dll
  • {variable path}\wuauclt.exe
• レジストリ
  {KEY}\Software\Microsoft\Windows\CurrentVersion\Run
  vmCheck = ""{variable path}\wuauclt.exe" "{variable path}\libglesv32.dll",vmCheck"

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。