RTKT_DUQU.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

ここのマルウェアは、産業用施設を標的とする「Stuxnet（スタクスネット）」の次なるマルウェアといわれる「DUQU」に関連しています。

マルウェアは、他のマルウェアによって作成されるファイルとしてコンピュータに侵入します。マルウェアは、また、特定のファイルとともに侵入します。

マルウェアは、Windows起動時に自動実行されるよう自身をサービスとして登録されます。

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

マルウェアは、他のマルウェアによって作成されるファイルとして、以下のいずれかとしてコンピュータに侵入します。

• %System%\Drivers\cmi4432.sys
• %System%\Drivers\jminet7.sys

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、また、以下のファイルとともに侵入します。

• %Windows%\inf\cmi4432.pnf - 「TROJ_DUQU.ENC」として検出 %Windows%\inf\cmi4464.pnf - 「TROJ_DUQU.CFG」として検出
• %Windows%\inf\netp191.pnf - 「TROJ_DUQU.ENC」として検出
• %Windows%\inf\netp192.pnf - 「TROJ_DUQU.CFG」として検出

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、""C:\Window""、WindowsNT および 2000の場合、""C:\WINNT"" です。)

その他

マルウェアは、自身をサービスとして登録され、Windows起動時に自動実行されるよう以下のレジストリキーおよびレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\JmiNET3
Description = "JmiNET3"
DisplayName = "JmiNET3"
ErrorControl = "0"
Group = "Network"
ImagePath = "\\??\\C:\\WINDOWS\\system32\\Drivers\\jminet7.sys"
Start = "1"
Type = "1"
FILTER = "＜16進法値＞"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmi4432
Description = "cmi4432"
DisplayName = "cmi4432"
ErrorControl = "0"
Group = "Network"
ImagePath = "\\??\\C:\\WINDOWS\\system32\\Drivers\\cmi4432.sys"
Start = "1"
Type = "1"
FILTER = "＜16進法値＞"

「FILTER」のレジストリ値は、暗号化されたデータを含んでいます。このレジストリ値は、「RTKT_DUQU.SME」が「TROJ_DUQU.ENC」のパスを取得するために復号する暗号化されたデータおよび「TROJ_DUQU.ENC」をどのプロセスに組み込むかといった情報が含まれています。「TROJ_DUQU.ENC」の復号により、DLLファイルがレジストリで指定されたプロセスに組み込まれます。復号されたDLLファイルは、トレンドマイクロの製品では、「TROJ_DUQU.DEC」として検出されます。