POISONIVY

「POISON」としても知られる「POISONIVY」は、アンダーグラウンド市場で流通している人気の「remote administration tool (RAT)」というバックドア型マルウェアです。POISONIVYは、長年に渡って流通してきました。2012年8月の時点で、このファミリのバックドア型マルウェアが標的型攻撃で確認されています。

「ZEUS」や「SPYEYE」と同様、POISONIVYは、これらのツールを販売するアンダーグラウンドのフォーラムから購入やダウンロードが可能な、ツールキットやビルダーを含んでいます。このビルダーは、購入者のニーズに応じてカスタマイズすることが可能です。POISONIVYの亜種は、以下のいずれかまたは以下すべての不正活動に利用されます。

• スクリーンショット、音声、Webカメラの画像の取得
• アクティブなポートの表示
• キー入力操作情報の収集
• 開いているウィンドウの管理
• パスワードの管理
• レジストリ、プロセス、サービス、デバイス、インストールされているアプリケーションの管理
• 同時に多数のファイル移動の実行
• リモートシェルの実行
• ファイルの検索
• サーバの共有
• 自身の更新、再起動、終了

多くのPOISONIVYの亜種は、自身の検出を避けるため、「代替データストリーム（ADS）」内で自身をコピーする機能を備えています。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\asf
• %Application Data%\2019\BG.bat.lnk
• %Application Data%\2019\Pr0c3xp.lnk
• %Application Data%\2019\Tcpview.lnk

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\2019\svchost .exe
• %User Profile%\Local Settings\FastUserSwitchingCompatibility.exe
• %System%\2019\svchost .exe
• %User Startup%\wuauclt.exe
• {malware path}\{malware name}.exe
• %System%:netmansykey.exe - Alternate Data Stream (ADS) copy
• %System%:sysfilevpn.exe - Alternate Data Stream (ADS) copy
• %System%:GoogleLive.exe - Alternate Data Stream (ADS) copy
• %System%:systemPErro.exe - Alternate Data Stream (ADS) copy
• %System%:mcarmy.exe - Alternate Data Stream (ADS) copy
• %System%:msfullcomen.exe - Alternate Data Stream (ADS) copy
• %System%:msjbvpncon.exe - Alternate Data Stream (ADS) copy
• %System%:mskeypro.exe - Alternate Data Stream (ADS) copy
• %System%:mssendfull.exe - Alternate Data Stream (ADS) copy

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Startup%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows 2000、XP、Server 2003の場合、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup " です。)

マルウェアは、以下のフォルダを作成します。

• %System Root%\dfed
• %Application Data%\2019
• %System%\2019

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
adobe = "{malware path}\{malware name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Google LiveUpdates = "%System%:GoogleLive.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FastUserSwitchingCompatibility = "%User Profile%\Local Settings\FastUserSwitchingCompatibility.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{6E9647F9-B5DB-BD95-B627-79E92947CF09}
StubPath = "%System%:netmansykey.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{0082ABF9-9309-614B-C2DD-C00CC33A8073}
StubPath = "%System%:mssendfull.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9E41174A-B99F-F49D-5CD0-0EF87DF3A162}
StubPath = "%System%:msjbvpncon.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{2580E7A2-880C-351F-B4DC-8320A4AB551C}
StubPath = "%System%:mskeypro.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{343F94C0-7BF8-95A0-9892-DE5C539F2AF8}
StubPath = "%System%:msfullcomen.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{180DA249-E241-D1EA-A5D6-E400EFEC204F}
StubPath = "%System%:mcarmy.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{014B0426-0DD3-D064-ED11-840B72A6498C
StubPath = "%System%:sysfilevpn.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{107D84CE-A965-12B5-A884-16BB63414DF0}
StubPath = "%System%:systemPErro.exe"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Recent File List

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Settings

HKEY_CURRENT_USER\Software\ations

HKEY_CURRENT_USER\Software\ations\
Recent File List

HKEY_CURRENT_USER\Software\ations\
Settings

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
Startup = "%System%\2019"

(註：変更前の上記レジストリ値は、「%User Startup%」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders
Startup = "%System%\2019"

(註：変更前の上記レジストリ値は、「%User Startup%」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• abianshabi.{BLOCKED}s.com
• army.{BLOCKED}z.com
• cs.{BLOCKED}k.com
• endless.{BLOCKED}o.org
• fbi.{BLOCKED}s.com
• jp.{BLOCKED}n.com
• owl.{BLOCKED}n.com
• pansenes.{BLOCKED}2.org
• send.{BLOCKED}00.com
• teadaye.{BLOCKED}s.net
• tibet.{BLOCKED}s.com
• tw.{BLOCKED}arleft.com

マルウェアが作成する自身のコピーは、以下のとおりです。

• %Application Data%\2019\svchost .exe
• %User Profile%\Local Settings\FastUserSwitchingCompatibility.exe
• %System%\2019\svchost .exe
• %User Startup%\wuauclt.exe
• ＜マルウェアのパス名＞\＜マルウェア名＞.exe
• %System%:netmansykey.exe - ADS内に作成されるコピー
• %System%:sysfilevpn.exe - ADS内に作成されるコピー
• %System%:GoogleLive.exe - ADS内に作成されるコピー
• %System%:systemPErro.exe - ADS内に作成されるコピー
• %System%:mcarmy.exe - ADS内に作成されるコピー
• %System%:msfullcomen.exe - ADS内に作成されるコピー
• %System%:msjbvpncon.exe - ADS内に作成されるコピー
• %System%:mskeypro.exe - ADS内に作成されるコピー
• %System%:mssendfull.exe - ADS内に作成されるコピー