• Email
• Facebook
• Twitter
• Google+
• Linkedin

Backdoor.Win32.PLUGX.DUKTA

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %All Users Profile%\xs\{Characters based on volume serial number} (if OS version is higher than or equal to Windows Vista)
• %All Users Profile%\DRM\xs\{Characters based on volume serial number} (if OS version is lower than or equal to Windows Server 2003 R2)

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\rundll32.exe" "%System%\wininet.DLL",DispatchAPICall 1

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• !@)*#()!@*#)(@!*#)(@!*#()@!&%$*(@#&Y*($@YHR*(IUYH*(!Y$@&*&Y@GRH&*@!YR*@&$R(*@!&U!@!@#@!#@!#@!#@#@!#@#@*U$()!@U$Y#H*(!$Y*&@!$Y#
• Global\{Characters based on process ID}

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HelpPanes = %Windows%\HelpPanes.exe

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Copy, move, rename, delete files
• Create directories
• Create files
• Enumerate files
• Execute files
• Get drive information
• Get file information
• Open and modify files
• Log keystrokes and active window
• Enumerate TCP and UDP connections
• Enumerate network resources
• Set TCP connection state
• Lock workstation
• Log off user
• Restart/Reboot/Shutdown system
• Display a message box
• Perfrom port mapping
• Enumerate processes
• Get process information
• Terminate processes
• Enumerate registry keys
• Create registry keys
• Delete registry keys
• Copy registry keys
• Enumerate registry entries
• Modify registry entries
• Delete registry values
• Screen capture
• Delete services
• Enumerate services
• Get service information
• Modify services
• Start services
• Perform remote shell
• Host Telnet server
• Connect to a database server and execute SQL statement

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://active.{BLOCKED}app.com:53/{Random characters}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

その他

マルウェアは、以下を実行します。

• It renames itself to %Windows\HelpPanes.exe.

マルウェアは、脆弱性を利用した感染活動を行いません。

＜補足＞
インストール

マルウェアは、以下のファイルを作成します。

• %All Users Profile%\xs\{ボリュームシリアルナンバーに基づいた文字} (オペレーティングシステム(OS)のバージョンがWindows Vista 以上の場合)
• %All Users Profile%\DRM\xs\{ボリュームシリアルナンバーに基づく文字} (OSのバージョンがWindows Server 2003 R2以下の場合)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• !@)*#()!@*#)(@!*#)(@!*#()@!&%$*(@#&Y*($@YHR*(IUYH*(!Y$@&*&Y@GRH&*@!YR*@&$R(*@!&U!@!@#@!#@!#@!#@#@!#@#@*U$()!@U$Y#H*(!$Y*&@!$Y#
• Global\{プロセスIDに基づいた文字}

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• ファイルのコピー、移動、改称、削除
• ディレクトリの作成
• ファイルの作成
• ファイルの列挙
• ファイルの実行
• ドライブ情報の取得
• ファイル情報の取得
• ファイルの開示、変更
• キー入力操作情報およびアクティブなウインドウの記録
• TCPおよびUDP接続の列挙
• ネットワークリソースの列挙
• TCP接続状態の設定
• ワークステーションのロック
• ユーザのログオフ
• システムの再起動、リブート、およびシャットダウン
• メッセージボックスの表示
• ポートマッピングの実行
• プロセスの列挙
• プロセス情報の取得
• プロセスの終了
• レジストリキーの列挙
• レジストリキーの作成
• レジストリキーの削除
• レジストリキーのコピー
• レジストリエントリの列挙
• レジストリエントリの変更
• レジストリ値の削除
• スクリーンキャプチャ
• サービスの削除
• サービスの列挙
• サービス情報の取得
• サービスの変更
• サービスの開始
• リモートシェルの実行
• Telnetサーバのホスト
• データベースサーバへの接続とSQLステートメントの実行

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://active.{BLOCKED}app.com:53/{ランダムな文字}

その他

マルウェアは、以下を実行します。

• マルウェアは、自身の名前を「%Windows\HelpPanes.exe」に変更します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください