Backdoor.PS1.BUMBLELOADER.ARC
Other:Malware-gen [Trj] (AVAST)
Windows
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- %System%\WindowsPowerShell\v1.0\powershell.exe -ep bypass -file quotefile.ps1
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のプロセスにコードを組み込みます。
- powershell.exe
マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
- ollydbg.exe
- ProcessHacker.exe
- tcpview.exe
- autoruns.exe
- autorunsc.exe
- filemon.exe
- procmon.exe
- regmon.exe
- procexp.exe
- idaq.exe
- idaq64.exe
- ImmunityDebugger.exe
- Wireshark.exe
- dumpcap.exe
- HookExplorer.exe
- ImportREC.exe
- PETools.exe
- LordPE.exe
- SysInspector.exe
- proc_analyzer.exe
- sysAnalyzer.exe
- sniff_hit.exe
- windbg.exe
- joeboxcontrol.exe
- joeboxserver.exe
- joeboxserver.exe
- ResourceHacker.exe
- x32dbg.exe
- x64dbg.exe
- Fiddler.exe
- httpdebugger.exe
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.7:148
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.40:496
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.160:468
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34:316
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.128:416
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.104:154
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.45:466
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.251:443
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.178:331
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.11:355
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.94:203
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.132:221
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.194:351
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.182:247
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.159:458
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34:126
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.104:472
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.138:443
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.235:351
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.32:451
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.210:220
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.52:115
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.64:365
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.186:115
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.180:486
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.121:128
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.255:264
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.224:141
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.142:413
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.136:398
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.168:242
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.48:481
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.202:444
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.184:478
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.57:206
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.169:349
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.214:383
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.52:420
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.98:214
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.232:132
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.13:370
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.87:100
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.6:419
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.22:278
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.32:153
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.7:315
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.42:167
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.229:329
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.67:487
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.27:351
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.44:306
その他
マルウェアは、以下を実行します。
- It hooks APIs of the current process.
- It terminates itself if it finds the following virtual machine/sandbox file artifacts in the affected system:
- %System%\drivers\VBoxMouse.sys
- %System%\drivers\VBoxGuest.sys
- %System%\drivers\VBoxSF.sys
- %System%\drivers\VBoxVideo.sys
- %System%\vboxdisp.dll
- %System%\vboxhook.dll
- %System%\vboxmrxnp.dll
- %System%\vboxogl.dll
- %System%\vboxoglarrayspu.dll
- %System%\vboxoglcrutil.dll
- %System%\vboxoglerrorspu.dll
- %System%\vboxoglfeedbackspu.dll
- %System%\vboxoglpackspu.dll
- %System%\vboxoglpassthroughspu.dll
- %System%\vboxservice.exe
- %System%\vboxtray.exe
- %System%\VBoxControl.exe
- %System%\drivers\balloon.sys
- %System%\drivers\netkvm.sys
- %System%\drivers\pvpanic.sys
- %System%\drivers\viofs.sys
- %System%\drivers\viogpudo.sys
- %System%\drivers\vioinput.sys
- %System%\drivers\viorng.sys
- %System%\drivers\vioscsi.sys
- %System%\drivers\vioser.sys
- %System%\drivers\viostor.sys
- It terminates itself if it finds the following virtual machine/sandbox directory artifacts in the affected system:
- %Program Files%\oracle\virtualbox\guest additions
- %Program Files%\qemu-ga
- %Program Files%\SPICE Guest Tools
- It terminates itself if it finds the following virtual machine/sandbox processes in the affected system's memory:
- vboxservice.exe
- vboxtray.exe
- VMSrvc.exe
- VMUSrvc.exe
- qemu-ga.exe
- vdagent.exe
- vdservice.exe
- prl_cc.exe
- prl_tools.exe
- It terminates itself if it finds the following virtual machine/sandbox network shares in the affected system:
- VirtualBox Shared Folders
- It terminates itself if it finds the following virtual devices in the affected system:
- \.\VBoxMiniRdrDN
- \.\VBoxGuest
- \.\VBoxTrayIPC
- \.\pipe\VBoxMiniRdDN
- \.\pipe\VBoxTrayIPC
- It checks for the following result of a WMI query to the Win32_NTEventLogFile entry to determine if it is being run in a virtual machine or sandbox:
- vboxvideo
- VBoxVideoW8
- VBoxWddm
- It checks for the following result of a WMI query to the Win32_Bus entry to determine if it is being run in a virtual machine or sandbox:
- ACPIBus_BUS_0
- PCI_BUS_0
- PNP_BUS_0
- It checks for the following result of a WMI query to the Win32_PnPEntity entry to determine if it is being run in a virtual machine or sandbox:
- PCI\VEN_80EE&DEV_CAFE
- 82801FB
- 82441FX
- 82371SB
- OpenHCD
- It checks for the following result of a WMI query to the Win32_BaseBoard entry to determine if it is being run in a virtual machine or sandbox:
- VirtualBox
- Oracle Corporation
- It checks for the following result of a WMI query to the Win32_PnPDevice entry to determine if it is being run in a virtual machine or sandbox:
- VBOX
- VEN_VBOX
- It checks for the following result of a WMI query to the Win32_ComputerSystem entry to determine if it is being run in a virtual machine or sandbox:
- VirtualBox
- HVM domU
- VMWare
- It checks for the following result of a WMI query to the Win32_NetworkAdapterConfiguration entry to determine if it is being run in a virtual machine or sandbox:
- 08:00:27
- Based on analysis of the codes, this malware has the following capabilities:
- Interprets the following messages as its backdoor commands:
- shi/dij - inject malicious code into one the following target processes:
- %Program Files%\Windows Photo Viewer\ImagingDevices.exe
- %Program Files%\Windows Mail\wab.exe
- %Program Files%\Windows Mail\wabmig.exe
- dex - write data into a file named wab.exe and executes it afterwards
- sdl - delete itself from the infected system via the following command:
- powershell Remove-Item -Path {File Path} -Force
- ins - enables persistence by dropping a copy of itself and creating a VBS script that executes the malware copy
- gdt - recursively delete itself from the infected system via the following command:
- powershell Remove-Item -Path {File Path} -Force -Recurse
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
マルウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。
- CurrentUser
- Sandbox
- Emily
- HAPUBWS
- Hong Lee
- IT-ADMIN
- Johnson
- Miller
- milozs
- Peter Wilson
- timmy
- sand box
- malware
- maltest
- test user
- virus
- John Doe
マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリキーが感染コンピュータ内に存在していないかを確認します。
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
FADT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
RSDT\VBOX__
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\
VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxGuest
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxMouse
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxSF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxVideo
HKEY_LOCAL_MACHINE\SOFTWARE\Wine
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\vioscsi
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\viostor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtIO-FS Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtioSerial
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BALLOON
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BalloonService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\netkvm
マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリ値が感染コンピュータ内に存在していないかを確認します。
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = VBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
VideoBiosVersion = VIRTUALBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosDate = 06/23/99
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = QEMU
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = QEMU
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.PS1.BUMBLELOADER.ARC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください