BKDR_XTRAT.LTY

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、システム情報を収集します。 マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %Application Data%\Microsoft\Windows\{Random File Name}.cfg
• %Application Data%\Microsoft\Windows\{Random File Name}.xtr
• %Application Data%\plugin.dat
• %Application Data%\2.ico
• %Current Folder%\plugin.dat
• %User Temp%\winxp7
• %User Temp%\winxp8
• %Application Data%\Rood.3gp
• %Application Data%\GDIPFONTCACHEV1.DAT
• %User Temp%\2.ico
• %User Temp%\.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\IDF.exe
• %Application Data%\Microsoft Word Update.exe
• %Application Data%\tempp.exe
• %Application Data%\winrar.exe
• %Application Data%\smss.exe
• %User Temp%\Microsoft Word.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• brSTgHafH

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

• %System%\sethc.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

•         .lnk

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
{Malware Path} = {Malware Path}

HKEY_CURRENT_USER\Software\XtremeRAT
Mutex = {Random Values}

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\qv1668809101y.oac

HKEY_CURRENT_USER\Software\IDF 23-9

HKEY_CLASSES_ROOT\he1779463363a.pqb

HKEY_CURRENT_USER\Software\yjudhfvjndghjghj

HKEY_CLASSES_ROOT\rz1263048663h.byi

HKEY_CURRENT_USER\Software\brSTgHafH

HKEY_CLASSES_ROOT\ep1839519877p.otz

HKEY_CURRENT_USER\Software\remote

HKEY_CLASSES_ROOT\pe1771047725g.bgt

バックドア活動

マルウェアは、以下のポートを開き、リモートコマンドを待機します。

• TCP port 50001
• TCP port 12001

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}3.no-ip.net
• {BLOCKED}1.no-ip.net
• skype.{BLOCKED}p3.com
• {BLOCKED}f.blogsite.org
• test.{BLOCKED}odem.org
• {BLOCKED}2.no-ip.net

情報漏えい

マルウェアは、システム情報を収集します。

マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

情報収集

マルウェアは、以下のファイル内に収集した情報を保存します。

• %Application Data%\logs.dat
• %Application Data%\winxplog.dat
• %Current Folder%\logs.dat
• %Application Data%\Microsoft\Windows\{Random File Name}.dat

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)