KIRPICH

「KIRPICH」は、ドキュメントを利用して侵入するバックドア型マルウェアのファミリです。マルウェアは、ボットネット「RegSubDat」としても知られています。このマルウェアの名前は、暗号化された拡張子「DAT」ファイルに保存されているコードに由来している可能性があります。マルウェアは、復号用のバイナリコンポーネントおよび暗号化されたコードであるDATファイルの両方の検出を回避するよう設計されています。

実行されると、「KIRPICH」は、身代金要求型不正プログラム（ランサムウェア）やクリックウェアといった他のマルウェアを作成します。これにより、マルウェアは感染コンピュータのセキュリティを侵害します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%User Profile%\Application Data\Microsoft\ Messenger\SpeechEngines\xpmsgr.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%User Profile%\Application Data\Microsoft\Messenger\Plugin\msgslang.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%User Profile%\Application Data\ Adobe\Plugins\AcroRd32Info.exe"

マルウェアは、以下のバイナリコンポーネントを作成します。

• %User Profile%\Application Data\Microsoft\Messenger\SpeechEngines\xpmsgr.exe
• %User Profile%\Application Data\Microsoft\Messenger\Plugin\msgslang.exe
• %User Profile%\Application Data\Adobe\Plugins\AcroRd32Info.exe

マルウェアは、以下の環境設定ファイルを作成します。

• %Cookies%\winifg.dat
• %Cookies%\wineck.dat
• %Cookies%\winddh.dat
• %Cookies%\winggf.dat

マルウェアは、以下の暗号化されたコードを作成します。

• %Application Data%\Microsoft\Media Player\wmpaud1.wav
• %Application Data%\Microsoft\Media Player\SOUND735.WAV
• %Application Data%\Microsoft\Windows\Usrdpa.dat

マルウェアは、以下のレジストリハイブを作成します。

• %User Profile%\a.hiv
• %User Profile%\b.hiv
• %User Profile%\ha.hiv
• %User Profile%\hb.hiv
• %User Profile%\1.hiv
• %User Profile%\2.hiv

マルウェアは、以下のいずれかのC&Cサーバに接続します。

• {BLOCKED}a-online.us:80
• {BLOCKED}a.dyndns-ip.com:80
• {BLOCKED}t.mynumber.org:443
• {BLOCKED}dia-time.net