BKDR_CHOSZ.AB

2013年3月15日

解析者: Nikko Tamana

別名:

a variant of Win32/Agent.PGZ trojan (NOD32), Trojan horse Agent4.AINB.dropper (AVG), Troj/Bkdr-I (Sophos)

プラットフォーム:

Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 161,271 bytes

タイプ EXE

メモリ常駐はい

発見日 2013年3月12日

ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動, システム情報の収集, キー入力操作情報の記録, ファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

{All User's Profile}\Application Data\mspool.dll - Also detected as BKDR_CHOSZ.AB
%User Temp%\1.rtf - Non-malicious

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

svchost.exe

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Description = "Windows mspool service."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
DisplayName = "mspool"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ImagePath = "%SystemRoot%\system32\svchost.exe -k LocalService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters
ServiceDll = "{All User's Profile}\Application Data\mspool.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters
ServiceMain = "BofMrf"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Security

HKEY_LOCAL_MACHINE\Classes\SS

HKEY_LOCAL_MACHINE\Classes\SS\
PROXY

HKEY_CURRENT_USER\Software\WinRAR SFX

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
%User Temp% = "%User Temp%"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
LocalService = "{Default values} mspool"

(註：変更前の上記レジストリ値は、「{Default values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache4」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Cookies」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\History 」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

Download files
Get drive information
Get system information
Log keystrokes and active window
Manage files and folders
Manage processes
Manage registry
Manage services
Perform remote shell

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

https://{BLOCKED}l.{BLOCKED}gnin.net

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアは、自身が実行された後、作成した無害なRTFファイルを開きます。これにより、ユーザに無害なファイルが開かれたと思わせます。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

マルウェアが作成する以下のファイルは、このマルウェアとして検出されます。

{All User's Profile}\Application Data\mspool.dll

マルウェアが実行するコマンドは、以下のとおりです。

ファイルのダウンロード
ドライブに関する情報の収集
コンピュータに関する情報の収集
キー入力操作情報およびアクティブなウインドウの記録
ファイルおよびフォルダの管理
プロセスの管理
レジストリの管理
サービスの管理
リモートシェルの実行

対応方法

対応検索エンジン: 9.300

初回 VSAPI パターンバージョン 9.784.03

初回 VSAPI パターンリリース日 2013年3月12日

VSAPI OPR パターンバージョン 9.785.00

VSAPI OPR パターンリリース日 2013年3月13日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_CHOSZ.AB」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{All User's Profile}\Application Data\mspool.dll
%User Temp%\1.rtf

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- mspool
In HKEY_LOCAL_MACHINE\Classes
- SS
In HKEY_CURRENT_USER\Software
- WinRAR SFX

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

In HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- From: ProxyEnable = "0"
  To: ProxyEnable = "1"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- From: LocalService = "{Default values} mspool"
  To: LocalService = "{Default values}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths
- From: Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
  To: Directory = "%Temporary Internet Files%\Content.IE5"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
  To: CachePath = "%Temporary Internet Files%\Content.IE5\Cache1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
  To: CachePath = "%Temporary Internet Files%\Content.IE5\Cache2"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
  To: CachePath = "%Temporary Internet Files%\Content.IE5\Cache3"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
  To: CachePath = "%Temporary Internet Files%\Content.IE5\Cache4"
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"
  To: Cookies = "%System Root%\Documents and Settings\NetworkService\Cookies"
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"
  To: Cache = "%System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files"
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"
  To: History = "%System Root%\Documents and Settings\NetworkService\Local Settings\History"

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。。
- Windows Vista および 7 の場合
  [スタート]をクリックし、[プログラムとファイルの検索]に regedit と入力し、Enter を押します。
  ※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_CONFIG>Software>Microsoft>Windows>CurrentVersion>Internet Settings
右側のパネルで以下のレジストリ値を検索します。
ProxyEnable = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
ProxyEnable = "1"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>SvcHost
右側のパネルで以下のレジストリ値を検索します。
LocalService = "{Default values} mspool"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
LocalService = "{Default values}"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths
右側のパネルで以下のレジストリ値を検索します。
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
Directory = "%Temporary Internet Files%\Content.IE5"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path1
右側のパネルで以下のレジストリ値を検索します。
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
CachePath = "%Temporary Internet Files%\Content.IE5\Cache1
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path2
右側のパネルで以下のレジストリ値を検索します。
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
CachePath = "%Temporary Internet Files%\Content.IE5\Cache2"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path3
右側のパネルで以下のレジストリ値を検索します。
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
CachePath = "%Temporary Internet Files%\Content.IE5\Cache3"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path4
右側のパネルで以下のレジストリ値を検索します。
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
CachePath = "%Temporary Internet Files%\Content.IE5\Cache4"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Explorer>Shell Folders
右側のパネルで以下のレジストリ値を検索します。
Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
Cookies = "%System Root%\Documents and Settings\NetworkService\Cookies"
再び、右側のパネルで以下のレジストリ値を検索します。
Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
Cache = "%System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files"
再び、右側のパネルで以下のレジストリ値を検索します。
History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
History = "%System Root%\Documents and Settings\NetworkService\Local Settings\History"
レジストリエディタを閉じます。

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「BKDR_CHOSZ.AB」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください