JAVA_ADWIND.JEJOZX

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

その他は、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

その他は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

その他は、以下のフォルダを追加します。

• %User Profile%\mYOvYsiyXqn
• %User Profile%\mYOvYsiyXqn\qkwgeGXXTNj<- plugin folder
• %Application Data%\Oracle

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

その他は、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\mYOvYsiyXqn\hBORrXsAGbZ.MDKdNb

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.)

その他は、以下のファイルを作成します。

• %User Temp%\_{Random Number}.class <- class to be loaded by main executable JAR, also detected as JAVA_ADWIND.JEJOZX
• %User Profile%\mYOvYsiyXqn\ID.txt <- contains UUID
• %System%\test.txt <- used to check for admin rights
• %User Profile%\fUTkALeaTxM\ID.txt <- contains UUID
• %User Temp%\{random string}.reg <- contains registry entries to be added by the malware

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他は、以下のファイルを作成し実行します。

• %User Temp%\Retrive{Random Number}.vbs <- Queries installed firewall and AV products

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

その他は、自身（コンピュータに侵入して最初に自身のコピーを作成した）を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

その他は、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
daKJSNUTFSG = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\mYOvYsiyXqn\hBORrXsAGbZ.MDKdNb"

他のシステム変更

その他は、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{List of Process}
debugger = "svchost.exe"
Where {List of Process} are the list of terminated processes (see Process Termination)

感染活動

その他は、ワーム活動の機能を備えていません。

バックドア活動

その他は、不正リモートユーザからの以下のコマンドを実行します。

• Download and Execute Plugins/Files
• Update itself
• Uninstall itself
• Restart Connection

その他は、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.111.183:0

ただし、情報公開日現在、このサーバには接続できません。

プロセスの終了

その他は、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• ProcessHacker.exe
• procexp.exe
• MSASCui.exe
• MsMpEng.exe
• MpUXSrv.exe
• MpCmdRun.exe
• NisSrv.exe
• ConfigSecurityPolicy.exe
• procexp.exe
• wireshark.exe
• tshark.exe
• text2pcap.exe
• rawshark.exe
• mergecap.exe
• editcap.exe
• dumpcap.exe
• capinfos.exe
• mbam.exe
• mbamscheduler.exe
• mbamservice.exe
• AdAwareService.exe
• AdAwareTray.exe
• WebCompanion.exe
• AdAwareDesktop.exe
• V3Main.exe
• V3Svc.exe
• V3Up.exe
• V3SP.exe
• V3Proxy.exe
• V3Medic.exe
• BgScan.exe
• BullGuard.exe
• BullGuardBhvScanner.exe
• BullGuarScanner.exe
• LittleHook.exe
• BullGuardUpdate.exe
• clamscan.exe
• ClamTray.exe
• ClamWin.exe
• cis.exe
• CisTray.exe
• cmdagent.exe
• cavwp.exe
• dragon_updater.exe
• MWAGENT.EXE
• MWASER.EXE
• CONSCTLX.EXE
• avpmapp.exe
• econceal.exe
• escanmon.exe
• escanpro.exe
• TRAYSSER.EXE
• TRAYICOS.EXE
• econser.exe
• VIEWTCP.EXE
• FSHDLL64.exe
• fsgk32.exe
• fshoster32.exe
• FSMA32.EXE
• fsorsp.exe
• fssm32.exe
• FSM32.EXE
• trigger.exe
• FProtTray.exe
• FPWin.exe
• FPAVServer.exe
• AVK.exe
• GdBgInx64.exe
• AVKProxy.exe
• GDScan.exe
• AVKWCtlx64.exe
• AVKService.exe
• AVKTray.exe
• GDKBFltExe32.exe
• GDSC.exe
• virusutilities.exe
• guardxservice.exe
• guardxkickoff_x64.exe
• iptray.exe
• freshclam.exe
• freshclamwrap.exe
• K7RTScan.exe
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7EmlPxy.EXE
• K7TSecurity.exe
• K7AVScan.exe
• K7CrvSvc.exe
• K7SysMon.Exe
• K7TSMain.exe
• K7TSMngr.exe
• nanosvc.exe
• nanoav.exe
• nnf.exe
• nvcsvc.exe
• nbrowser.exe
• nseupdatesvc.exe
• nfservice.exe
• nwscmon.exe
• njeeves2.exe
• nvcod.exe
• nvoy.exe
• zlhh.exe
• Zlh.exe
• nprosec.exe
• Zanda.exe
• NS.exe
• acs.exe
• op_mon.exe
• PSANHost.exe
• PSUAMain.exe
• PSUAService.exe
• AgentSvc.exe
• BDSSVC.EXE
• EMLPROXY.EXE
• OPSSVC.EXE
• ONLINENT.EXE
• QUHLPSVC.EXE
• SAPISSVC.EXE
• SCANNER.EXE
• SCANWSCS.EXE
• scproxysrv.exe
• ScSecSvc.exe
• SUPERAntiSpyware.exe
• SASCore64.exe
• SSUpdate64.exe
• SUPERDelete.exe
• SASTask.exe
• K7RTScan.exe
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7EmlPxy.EXE
• K7TSecurity.exe
• K7AVScan.exe
• K7CrvSvc.exe
• K7SysMon.Exe
• K7TSMain.exe
• K7TSMngr.exe
• uiWinMgr.exe
• uiWatchDog.exe
• uiSeAgnt.exe
• PtWatchDog.exe
• PtSvcHost.exe
• PtSessionAgent.exe
• coreFrameworkHost.exe
• coreServiceShell.exe
• uiUpdateTray.exe
• VIPREUI.exe
• SBAMSvc.exe
• SBAMTray.exe
• SBPIMSvc.exe
• bavhm.exe
• BavSvc.exe
• BavTray.exe
• Bav.exe
• BavWebClient.exe
• BavUpdater.exe
• MCShieldCCC.exe
• MCShieldRTM.exe
• MCShieldDS.exe
• MCS-Uninstall.exe
• SDScan.exe
• SDFSSvc.exe
• SDWelcome.exe
• SDTray.exe
• UnThreat.exe
• utsvc.exe
• FortiClient.exe
• fcappdb.exe
• FCDBlog.exe
• FCHelper64.exe
• fmon.exe
• FortiESNAC.exe
• FortiProxy.exe
• FortiSSLVPNdaemon.exe
• FortiTray.exe
• FortiFW.exe
• FortiClient_Diagnostic_Tool.exe
• av_task.exe
• CertReg.exe
• FilMsg.exe
• FilUp.exe
• filwscc.exe
• psview.exe
• quamgr.exe
• schmgr.exe
• twsscan.exe
• twssrv.exe
• UserReg.exe

その他

マルウェアが追加する以下のフォルダは、プラグインフォルダです。

• User Profile%\mYOvYsiyXqn\qkwgeGXXTNj

マルウェアが作成する以下のファイルは、メインの実行可能なJARファイルによって読み込まれるクラスで、「JAVA_ADWIND.JEJOZX」として検出されます。

• %User Temp%\_{Random Number}.class

マルウェアが作成する以下のファイルには、UUIDが含まれています。

• %User Profile%\mYOvYsiyXqn\ID.txt
• %User Profile%\fUTkALeaTxM\ID.txt

マルウェアが作成する以下のファイルは、管理者権限を確認するために利用されます。

• %System%\test.txt

マルウェアが作成する以下のファイルには、マルウェアが追加するレジストリ値が含まれます。

• %User Temp%\{random string}.reg

マルウェアが作成し実行する以下のファイルは、インストールされたファイアウォールおよびセキュリティ対策製品を検索します。

• %User Temp%\Retrive{Random Number}.vbs

マルウェアが実行する不正リモートユーザからのコマンドは以下のとおりです。

• プラグインやファイルのダウンロードおよび実行
• 自身の更新
• 自身のアンインストール
• 接続のリセット

マルウェアは、Javaインストールフォルダ下のファイルを以下のフォルダにコピーします。

• %Application Data%\Oracle

マルウェアは、以下のファイルを”%System%”フォルダに作成して管理者権限の有無を確認します。

• %System%\test.txt

マルウェアは、"regedit.exe"を利用して以下のレジストリハイブを追加します。

• %User Temp%\{random string}.reg

マルウェアが収集する情報は以下のとおりです。

• プライベートIPアドレス
• ユーザ名
• コンピュータ名
• 管理者権限の有無
• オペレーティングシステム（OS）の情報（OS名、バージョン、アーキテクチャ）
• 国名
• RAMのサイズ
• Javaのバージョン
• 仮想環境（VMwareまたはVBOX）で実行されているかどうかの確認
• インストールされたファイアウォール
• インストールされたセキュリティ対策製品

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。