BKDR_COMDAR

2013年7月19日

別名:

Fynloski, Krademok, DarkKomet

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、マルウェアは自身を検出されることなく不正活動を実行することが可能になります。マルウェアは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。マルウェアは、レジストリ値を変更し、Windowsのファイアウォールを無効にします。これにより、マルウェアは、自身を検出されることなく不正活動を実行することが可能になります。

詳細

メモリ常駐はい

ペイロードシステムセキュリティへの感染活動, 情報収集

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Temp%\WinDefender.Exe
%Application Data%\VIA\vc.exe
%User Temp%\lsasrv.exe
%System%\Windupdt\winupdate.exe
%Application Data%\HostProcess\{malware name}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下のフォルダを作成します。

%Application Data%\dclogs
%Application Data%\VIA
%System%\Windupdt
%Application Data%\HostProcess

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinDefender = "%User Temp%\WinDefender.Exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
VIAChipset = "%Application Data%\VIA\vc.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft® Windows® Operating System = "%User Profile%\Templates\msadrh10.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winupdater = "%System%\Windupdt\winupdate.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HostProcess = "%Application Data%\HostProcess\{malware name}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\VIA\vc.exe"

(註：変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\DC3_FEXEC

マルウェアは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

マルウェアは、以下のレジストリ値を変更し、Windowsのファイアウォールを無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

%Application Data%\dclogs\{date executed}-{number}.dc
%User Temp%\NovoUpdate.exe
%User Profile%\Templates\msadrh10.exe
%User Temp%\vbc.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

{BLOCKED}ount3.no-ip.org
{BLOCKED}604.no-ip.org
{BLOCKED}x-update.zapto.org
http://{BLOCKED}e.habbo-dev.com/files
{BLOCKED}554.no-ip.biz
{BLOCKED}ster1.no-ip.org
{BLOCKED}2.{BLOCKEDmedia.net