• Email
• Facebook
• Twitter
• Google+
• Linkedin

Backdoor.MSIL.ASYNCRAT.CC

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、感染コンピュータ上の特定の情報を収集します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %Application Data%\svchos.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のファイルを作成します。

• %User Temp%\tmp{Random}.tmp.bat → used to execute %Application Data%\svchos.exe and delete itself
• %User Temp%\Log.tmp → contains key logs

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c schtasks /create /f /sc onlogon /rl highest /tn "svchos" /tr "%Application Data%\svchos.exe" & exit → if malware is running as Administrator
• %System%\cmd.exe /c "%User Temp%\tmp{Random}.tmp.bat"

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• AsyncMutex_6SI8OkPnk

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
svchos = %Application Data%\svchos.exe → if malware is not running as Administrator

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• anydesk, backproxy, getscreen, Killproxy, Net35, uacoff, WDExclusion → execute a plugin from the C&C server
• Avast, DiscordTokens, Chrome, Fox, passload, Wallets, WebBrowserPass → sends the hardware ID and execute a plugin from the C&C server
• Block → copies %System%\drivers\etc\hosts as %System%\drivers\etc\hosts.backup if %System%\drivers\etc\hosts.backup does not exist and then modifies %System%\drivers\etc\hosts. It also adds the following process: %System%\cmd.exe /c taskkill.exe /im chrome.exe /f
• gettxt → extracts and sends clipboard data
• killps → terminate processes by process names received from the C&C server
• klget → extracts and sends key logs from %User Temp%\Log.tmp
• plugin → if HKEY_CURRENT_USER\Software\{HWID} does not exist, it will execute a plugin from the C&C server
• pong → ping test
• ResetHosts → copies %System%\drivers\etc\hosts.backup as %System%\drivers\etc\hosts
• ResetScale → sets the screensaver timeout to 0
• saveplugin → creates a registry key under HKEY_CURRENT_USER\Software\{HWID} with values specified by the C&C server and execute a plugin from the C&C server
• setxt → clears or sets value of clipboard data depending on the value received from the C&C server
• weburl → downloads and executes a file specified from the C&C server

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• tcp://{BLOCKED}.{BLOCKED}.{BLOCKED}.252:1339
• tcp://{BLOCKED}y.dynuddns.net:1339

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• HWID = HWID generated from processor count, username, computer name, OS version, and total size of the system directory
• User = System Username
• OS = Operating System of affected system
• Path = Malware File Path
• Admin = Is malware executing as Administrator
• Performance = Current Active Window
• Antivirus = List of AV products installed
• If the following cryptocurrency wallet and 2FA browser extensions exists in the affected system:
  • Brave
  • Authenticator
  • MetaMask
  • Phantom
  • Chrome
  • Authenticator
  • Binance
  • BitKeep
  • BitPay
  • Coinbase
  • Exodus
  • MetaMask
  • Phantom
  • Ronin
  • TronLink
  • TrustWallet
  • Edge
  • Authenticator
  • Binance
  • MetaMask
  • Firefox
  • MetaMask
  • Opera
  • MetaMask
  • Opera GX
  • MetaMask
• If the following cryptocurrency applications exists in the affedted system:
  • Atomic
  • Binance
  • Bitcoin
  • Coinomi
  • Ergo Wallet
  • Electrum
  • Exodus
  • Ledger Live
• LastTime = Last activity time of the affected system

その他

マルウェアは、以下を実行します。

• It prevents the system from sleeping
• It terminates the following processes if the current malware file name is not %Application Data%\svchos.exe:
  • %Application Data%\svchos.exe
• It deletes files with the following file names if the current malware file name is not %Application Data%\svchos.exe:
  • %Application Data%\svchos.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、脆弱性を利用した感染活動を行いません。

以下のスケジュールされたタスクを追加します：

• If malware is running as Administrator:
  • Name: %Application Data%\svchos.exe
  • Trigger: At log on of any user
  • Action: %Application Data%\svchos.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\tmp{ランダム}.tmp.bat → 「%Application Data%\svchos.exe」の実行および自身の削除に使用される
• %User Temp%\Log.tmp → キー入力操作情報を含む

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c schtasks /create /f /sc onlogon /rl highest /tn "svchos" /tr "%Application Data%\svchos.exe" & exit → マルウェアが管理者として実行されている場合
• %System%\cmd.exe /c "%User Temp%\tmp{ランダム}.tmp.bat"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• anydesk, backproxy, getscreen, Killproxy, Net35, uacoff, WDExclusion → C&Cサーバからプラグインを実行する
• Avast, DiscordTokens, Chrome, Fox, passload, Wallets, WebBrowserPass → ハードウェアIDを送信するほか、C&Cサーバからプラグインを実行する
• Block → 「%System%\drivers\etc\hosts.backup」が存在しない場合、「%System%\drivers\etc\hosts」を「%System%\drivers\etc\hosts.backup」としてコピーし、「%System%\drivers\etc\hosts」 を変更する。また、プロセス「%System%\cmd.exe /c taskkill.exe /im chrome.exe /f」も追加する
• gettxt → クリップボードのデータを抽出して送信する
• killps → C&Cサーバから受信したプロセス名でプロセスを終了する
• klget → 「%User Temp%\Log.tmp」からキー入力操作情報を抽出して送信する
• plugin → 「HKEY_CURRENT_USER\Software\{HWID}」が存在しない場合、C&Cサーバからプラグインを実行する
• pong → pingテスト
• ResetHosts → 「%System%\drivers\etc\hosts.backup」を「%System%\drivers\etc\hosts」としてコピーする
• ResetScale → スクリーンセーバーのタイムアウトを0に設定する
• saveplugin → C&Cサーバが指定した値を使って「HKEY_CURRENT_USER\Software\{HWID}」配下にレジストリキーを作成し、C&Cサーバからプラグインを実行する
• setxt → C&Cサーバから受信した値に応じてクリップボードのデータの値をクリアまたは設定する
• weburl → C&Cサーバから指定されたファイルをダウンロードして実行する

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• HWID = プロセッサ数、ユーザ名、コンピュータ名、オペレーティングシステム（OS）のバージョン、システムディレクトリの合計サイズから生成されたHWID
• User = システムユーザ名
• OS = 影響を受けるコンピュータのOS
• Path = マルウェアのファイルパス
• Admin = 管理者として実行されているマルウェア
• Performance = 現在アクティブなウインドウ
• Antivirus = インストールされているウイルス対策製品の一覧
• 影響を受けるコンピュータ内に以下の暗号資産（仮想通貨）ウォレットおよび2要素認証が可能なブラウザ拡張機能が存在する場合:
  • Brave
    • Authenticator
    • MetaMask
    • Phantom
  • Chrome
    • Authenticator
    • Binance
    • BitKeep
    • BitPay
    • Coinbase
    • Exodus
    • MetaMask
    • Phantom
    • Ronin
    • TronLink
    • TrustWallet
  • Edge
    • Authenticator
    • Binance
    • MetaMask
  • Firefox
    • MetaMask
  • Opera
    • MetaMask
  • Opera GX
    • MetaMask
• 影響を受けるコンピュータ内に以下の暗号資産アプリケーションが存在する場合：
  • Atomic
  • Binance
  • Bitcoin
  • Coinomi
  • Ergo Wallet
  • Electrum
  • Exodus
  • Ledger Live
• LastTime = 影響を受けるコンピュータの最終アクティビティの時間

その他

マルウェアは、以下を実行します。

• 感染コンピュータがスリープ状態になることを防ぎます。
• 現在のマルウェアのファイル名が「%Application Data%\svchos.exe」でない場合、以下のプロセスを終了します。
  • %Application Data%\svchos.exe
• 現在のマルウェアのファイル名が「%Application Data%\svchos.exe」でない場合、以下のファイルを削除します。
  • %Application Data%\svchos.exe

以下のスケジュールされたタスクを追加します：

• マルウェアが管理者として実行されている場合：
  • 名前: %Application Data%\svchos.exe
  • トリガ: 任意のユーザのログオン時
  • アクション: %Application Data%\svchos.exe

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください