BKDR_BAYROB.XCK
Mal/Bayrob-C (Sophos); TrojanSpy:Win32/Nivdort.DZ (Microsoft); HEUR:Trojan.Win32.Bayrob.gen (Kaspersky); W32/Bayrob.BT!tr (Fortinet)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %System Root%\uijuoja\dvw{random 5 characters}y4qjxddhly.exe - deleted afterwards
- %System Root%\uijuoja\ephdwiuepuu.exe
- %System Root%\uijuoja\flenvmby.exe
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のファイルを作成します。
- %Windows%\uijuoja\jeaxup (for Windows XP only) - deleted afterwards
- %System Root%\uijuoja\jeaxup
- %System Root%\uijuoja\eymssgkrjx
- %System Root%\uijuoja\nnqwqa
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のフォルダを作成します。
- %Windows%\uijuoja
- %System Root%\uijuoja
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下の偽エラーメッセージを表示します。
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
ImagePath = "%System Root%\uijuoja\ephdwiuepuu.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
DisplayName = "Office TP Auto-Discovery Adaptive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
Type = "272"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
ErrorControl = "0"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Event Volume Shell Driver Hardware = "%System Root%\uijuoja\ephdwiuepuu.exe"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Office TP Auto-Discovery Adaptive
感染活動
マルウェアは、ワーム活動の機能を備えていません。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{hostname}.net/index.php
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアが感染したコンピュータ内に作成し実行する以下の自身のコピーは、後で削除されます。
- %System Root%\uijuoja\dvw{random 5 characters}y4qjxddhly.exe
マルウェアが作成する以下のファイルは、後で削除されます。
- %Windows%\uijuoja\jeaxup (Windows XP のみ)
その他
変数{hostname}は、以下のリストの2つの文字列が連結して生成されます。
- above
- action
- advance
- afraid
- against
- airplane
- almost
- alone
- already
- although
- always
- amount
- anger
- angry
- animal
- another
- answer
- appear
- apple
- around
- arrive
- article
- attempt
- banker
- basket
- battle
- beauty
- became
- because
- become
- before
- begin
- behind
- being
- believe
- belong
- beside
- better
- between
- beyond
- bicycle
- board
- borrow
- bottle
- bottom
- branch
- bread
- bridge
- bright
- bring
- broad
- broken
- brought
- brown
- building
- built
- business
- butter
- captain
- carry
- catch
- caught
- century
- chair
- chance
- character
- charge
- chief
- childhood
- children
- choose
- cigarette
- circle
- class
- clean
- clear
- close
- clothes
- college
- company
- complete
- condition
- consider
- contain
- continue
- control
- corner
- country
- course
- cover
- crowd
- daughter
- decide
- degree
- delight
- demand
- desire
- destroy
- device
- difference
- different
- difficult
- dinner
- direct
- discover
- distance
- distant
- divide
- doctor
- dollar
- double
- doubt
- dress
- dried
- during
- early
- eearly
- effort
- either
- electric
- electricity
- english
- enough
- enter
- escape
- evening
- every
- except
- expect
- experience
- explain
- family
- famous
- fancy
- father
- fellow
- fence
- fifteen
- fight
- figure
- finger
- finish
- flier
- flower
- follow
- foreign
- forest
- forever
- forget
- fortieth
- forward
- found
- fresh
- friend
- further
- future
- garden
- gather
- general
- gentle
- gentleman
- glass
- glossary
- goodbye
- govern
- guard
- happen
- health
- heard
- heart
- heaven
- heavy
- history
- honor
- however
- hunger
- husband
- include
- increase
- indeed
- industry
- inside
- instead
- journey
- kitchen
- known
- labor
- ladder
- language
- large
- laugh
- laughter
- leader
- leave
- length
- letter
- likely
- listen
- little
- machine
- manner
- market
- master
- material
- matter
- mayor
- measure
- meeting
- member
- method
- middle
- might
- million
- minute
- mister
- modern
- morning
- mother
- mountain
- movement
- nation
- nature
- nearly
- necessary
- needle
- neighbor
- neither
- niece
- night
- north
- nothing
- notice
- number
- object
- oclock
- office
- often
- opinion
- order
- orderly
- outside
- paint
- partial
- party
- people
- perfect
- perhaps
- period
- person
- picture
- pleasant
- please
- pleasure
- position
- possible
- power
- prepare
- present
- president
- pretty
- probable
- probably
- problem
- produce
- promise
- proud
- public
- quarter
- question
- quiet
- rather
- ready
- realize
- reason
- receive
- record
- remember
- report
- require
- result
- return
- ridden
- right
- river
- round
- safety
- school
- season
- separate
- service
- settle
- severa
- several
- shake
- share
- shore
- short
- should
- shoulder
- shout
- silver
- simple
- single
- sister
- smell
- smoke
- soldier
- space
- speak
- special
- spent
- spread
- spring
- square
- station
- still
- store
- storm
- straight
- strange
- stranger
- stream
- street
- strength
- strike
- strong
- student
- subject
- succeed
- success
- sudden
- suffer
- summer
- supply
- suppose
- surprise
- sweet
- system
- therefore
- thick
- think
- third
- those
- though
- thought
- through
- thrown
- together
- toward
- trade
- train
- training
- travel
- trouble
- trust
- twelve
- twenty
- understand
- understood
- until
- valley
- value
- various
- wagon
- water
- weather
- welcome
- wheat
- whether
- while
- white
- whose
- window
- winter
- within
- without
- woman
- women
- wonder
- worth
- would
- write
- written
- yellow
このバックドアコンポーネントは自身のURLリストに接続し環境設定ファイルをダウンロードします。この環境設定ファイルは情報窃取の対象であるアプリケーション、Webサイトおよびバックドアコマンドを含みます。ファイルの内容はコマンド&コントロール(C&C)からの応答によります
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Event Volume Shell Driver Hardware = "%System Root%\uijuoja\ephdwiuepuu.exe"
- Event Volume Shell Driver Hardware = "%System Root%\uijuoja\ephdwiuepuu.exe"
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- Office TP Auto-Discovery Adaptive
- Office TP Auto-Discovery Adaptive
手順 6
以下のフォルダを検索し削除します。
- %Windows%\uijuoja
- %System Root%\uijuoja
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_BAYROB.XCK」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください