Backdoor.MSIL.ASYNCRAT.CC
Backdoor:MSIL/AsyncRat.AD!MTB (MICROSOFT)
Windows
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、感染コンピュータ上の特定の情報を収集します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。
- %Application Data%\svchos.exe
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のファイルを作成します。
- %User Temp%\tmp{Random}.tmp.bat → used to execute %Application Data%\svchos.exe and delete itself
- %User Temp%\Log.tmp → contains key logs
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のプロセスを追加します。
- %System%\cmd.exe /c schtasks /create /f /sc onlogon /rl highest /tn "svchos" /tr "%Application Data%\svchos.exe" & exit → if malware is running as Administrator
- %System%\cmd.exe /c "%User Temp%\tmp{Random}.tmp.bat"
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- AsyncMutex_6SI8OkPnk
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
svchos = %Application Data%\svchos.exe → if malware is not running as Administrator
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- anydesk, backproxy, getscreen, Killproxy, Net35, uacoff, WDExclusion → execute a plugin from the C&C server
- Avast, DiscordTokens, Chrome, Fox, passload, Wallets, WebBrowserPass → sends the hardware ID and execute a plugin from the C&C server
- Block → copies %System%\drivers\etc\hosts as %System%\drivers\etc\hosts.backup if %System%\drivers\etc\hosts.backup does not exist and then modifies %System%\drivers\etc\hosts. It also adds the following process: %System%\cmd.exe /c taskkill.exe /im chrome.exe /f
- gettxt → extracts and sends clipboard data
- killps → terminate processes by process names received from the C&C server
- klget → extracts and sends key logs from %User Temp%\Log.tmp
- plugin → if HKEY_CURRENT_USER\Software\{HWID} does not exist, it will execute a plugin from the C&C server
- pong → ping test
- ResetHosts → copies %System%\drivers\etc\hosts.backup as %System%\drivers\etc\hosts
- ResetScale → sets the screensaver timeout to 0
- saveplugin → creates a registry key under HKEY_CURRENT_USER\Software\{HWID} with values specified by the C&C server and execute a plugin from the C&C server
- setxt → clears or sets value of clipboard data depending on the value received from the C&C server
- weburl → downloads and executes a file specified from the C&C server
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- tcp://{BLOCKED}.{BLOCKED}.{BLOCKED}.252:1339
- tcp://{BLOCKED}y.dynuddns.net:1339
ただし、情報公開日現在、このWebサイトにはアクセスできません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
情報漏えい
マルウェアは、感染コンピュータ上の以下の情報を収集します。
- HWID = HWID generated from processor count, username, computer name, OS version, and total size of the system directory
- User = System Username
- OS = Operating System of affected system
- Path = Malware File Path
- Admin = Is malware executing as Administrator
- Performance = Current Active Window
- Antivirus = List of AV products installed
- If the following cryptocurrency wallet and 2FA browser extensions exists in the affected system:
- Brave
- Authenticator
- MetaMask
- Phantom
- Chrome
- Authenticator
- Binance
- BitKeep
- BitPay
- Coinbase
- Exodus
- MetaMask
- Phantom
- Ronin
- TronLink
- TrustWallet
- Edge
- Authenticator
- Binance
- MetaMask
- Firefox
- MetaMask
- Opera
- MetaMask
- Opera GX
- MetaMask
- If the following cryptocurrency applications exists in the affedted system:
- Atomic
- Binance
- Bitcoin
- Coinomi
- Ergo Wallet
- Electrum
- Exodus
- Ledger Live
- LastTime = Last activity time of the affected system
その他
マルウェアは、以下を実行します。
- It prevents the system from sleeping
- It terminates the following processes if the current malware file name is not %Application Data%\svchos.exe:
- %Application Data%\svchos.exe
- It deletes files with the following file names if the current malware file name is not %Application Data%\svchos.exe:
- %Application Data%\svchos.exe
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、脆弱性を利用した感染活動を行いません。
以下のスケジュールされたタスクを追加します:
- If malware is running as Administrator:
- Name: %Application Data%\svchos.exe
- Trigger: At log on of any user
- Action: %Application Data%\svchos.exe
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\tmp{ランダム}.tmp.bat → 「%Application Data%\svchos.exe」の実行および自身の削除に使用される
- %User Temp%\Log.tmp → キー入力操作情報を含む
マルウェアは、以下のプロセスを追加します。
- %System%\cmd.exe /c schtasks /create /f /sc onlogon /rl highest /tn "svchos" /tr "%Application Data%\svchos.exe" & exit → マルウェアが管理者として実行されている場合
- %System%\cmd.exe /c "%User Temp%\tmp{ランダム}.tmp.bat"
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- anydesk, backproxy, getscreen, Killproxy, Net35, uacoff, WDExclusion → C&Cサーバからプラグインを実行する
- Avast, DiscordTokens, Chrome, Fox, passload, Wallets, WebBrowserPass → ハードウェアIDを送信するほか、C&Cサーバからプラグインを実行する
- Block → 「%System%\drivers\etc\hosts.backup」が存在しない場合、「%System%\drivers\etc\hosts」を「%System%\drivers\etc\hosts.backup」としてコピーし、「%System%\drivers\etc\hosts」 を変更する。また、プロセス「%System%\cmd.exe /c taskkill.exe /im chrome.exe /f」も追加する
- gettxt → クリップボードのデータを抽出して送信する
- killps → C&Cサーバから受信したプロセス名でプロセスを終了する
- klget → 「%User Temp%\Log.tmp」からキー入力操作情報を抽出して送信する
- plugin → 「HKEY_CURRENT_USER\Software\{HWID}」が存在しない場合、C&Cサーバからプラグインを実行する
- pong → pingテスト
- ResetHosts → 「%System%\drivers\etc\hosts.backup」を「%System%\drivers\etc\hosts」としてコピーする
- ResetScale → スクリーンセーバーのタイムアウトを0に設定する
- saveplugin → C&Cサーバが指定した値を使って「HKEY_CURRENT_USER\Software\{HWID}」配下にレジストリキーを作成し、C&Cサーバからプラグインを実行する
- setxt → C&Cサーバから受信した値に応じてクリップボードのデータの値をクリアまたは設定する
- weburl → C&Cサーバから指定されたファイルをダウンロードして実行する
情報漏えい
マルウェアは、感染コンピュータ上の以下の情報を収集します。
- HWID = プロセッサ数、ユーザ名、コンピュータ名、オペレーティングシステム(OS)のバージョン、システムディレクトリの合計サイズから生成されたHWID
- User = システムユーザ名
- OS = 影響を受けるコンピュータのOS
- Path = マルウェアのファイルパス
- Admin = 管理者として実行されているマルウェア
- Performance = 現在アクティブなウインドウ
- Antivirus = インストールされているウイルス対策製品の一覧
- 影響を受けるコンピュータ内に以下の暗号資産(仮想通貨)ウォレットおよび2要素認証が可能なブラウザ拡張機能が存在する場合:
- Brave
- Authenticator
- MetaMask
- Phantom
- Chrome
- Authenticator
- Binance
- BitKeep
- BitPay
- Coinbase
- Exodus
- MetaMask
- Phantom
- Ronin
- TronLink
- TrustWallet
- Edge
- Authenticator
- Binance
- MetaMask
- Firefox
- MetaMask
- Opera
- MetaMask
- Opera GX
- MetaMask
- Brave
- 影響を受けるコンピュータ内に以下の暗号資産アプリケーションが存在する場合:
- Atomic
- Binance
- Bitcoin
- Coinomi
- Ergo Wallet
- Electrum
- Exodus
- Ledger Live
- LastTime = 影響を受けるコンピュータの最終アクティビティの時間
その他
マルウェアは、以下を実行します。
- 感染コンピュータがスリープ状態になることを防ぎます。
- 現在のマルウェアのファイル名が「%Application Data%\svchos.exe」でない場合、以下のプロセスを終了します。
- %Application Data%\svchos.exe
- 現在のマルウェアのファイル名が「%Application Data%\svchos.exe」でない場合、以下のファイルを削除します。
- %Application Data%\svchos.exe
以下のスケジュールされたタスクを追加します:
- マルウェアが管理者として実行されている場合:
- 名前: %Application Data%\svchos.exe
- トリガ: 任意のユーザのログオン時
- アクション: %Application Data%\svchos.exe
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF079
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task name: svchos
- Task to be run: %Application Data%\svchos.exe
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- svchos = %Application Data%\svchos.exe
- svchos = %Application Data%\svchos.exe
手順 7
以下のファイルを検索し削除します。
- %Application Data%\svchos.exe
- %User Temp%\tmp{Random}.tmp.bat
- %User Temp%\Log.tmp
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.MSIL.ASYNCRAT.CC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください