• Email
• Facebook
• Twitter
• Google+
• Linkedin

BKDR_DARKOMET.P

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\IXP000.TMP\TMP4351$.TMP - deleted afterwards
• %AppDataLocal%\CSIDL_X - deleted afterwards
• %AppDataLocal%\CSIDL_
• %User Temp%\IXP000.TMP\M.ex_ - deleted afterwards
• %User Temp%\tmp05\tmpfile.ex_- deleted afterwards

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のファイルを作成し実行します。

• %User Temp%\IXP000.TMP\M.exe -> detected as BKDR_DARKOMET.P
• %User Temp%\tmp05\tmpfile.exe ->copy of M.exe, detected as BKDR_DARKOMET.P

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のフォルダを作成します。

• %User Temp%\IXP000.TMP
• %User Temp%\tmp05
• %Application Data%\dclogs

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• DC_MUTEX-DXE2AAX

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
UserInit = "%System%\userinit.exe,%User Temp%\tmp05\tmpfile.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
tempfiler = "%User Temp%\tmp05\tmpfile.exe"

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\system.pif -> copy of M.exe, detected as BKDR_DARKOMET.P

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
M

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
tmpfile

HKEY_CURRENT_USER\Software\DC3_FEXEC

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP000.TMP\""

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• List disk drives
• List webcams and monitor/capture video
• Change MSN Messenger status & modify contact list
• Shutdown, Restart, Log off or Lock computer
• Empty Recycle Bin
• Visit arbitrary C&C servers
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Refresh or delete logs
• Modify system's host file
• Record and play sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Start and control chat sessions
• Monitor activity by Remote Desktop Protocol
• DDOS Flooding
• Manipulate the following:
  • Browser
  • Clipboard
  • Desktop
  • Dialog Box
  • Files
  • Folders
  • Mouse clicks
  • Processes
  • Registries
  • Services
  • Shutdown button options
  • Start button
  • System clock
  • System tray
  • Taskbar
• Lessen system security level by:
  • Disabling update notification
  • Disabling AV notification
  • Disabling firewall
  • Disabling services
  • Disabling LUA notification
• Disable RegistryTools
• Disable TaskMgr
• Disable Control Panel

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}4ck.no-ip.biz:1122

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。

• %Application Data%\dclogs\{current date}-{number}.dc

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

情報漏えい

マルウェアは、以下の情報を収集します。

• Admin rights
• Computer/User name
• Language/Country
• Operating System information
• RAM used
• Web Cam information

マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

その他

マルウェアが作成する以下のファイルは。その後削除されます。

• %User Temp%\IXP000.TMP\TMP4351$.TMP
• %AppDataLocal%\CSIDL_X
• %User Temp%\IXP000.TMP\M.ex_
• %User Temp%\tmp05\tmpfile.ex_

マルウェアが作成し実行する以下のファイルは、「BKDR_DARKOMET.P」として検出されます。

• %User Temp%\IXP000.TMP\M.exe
• %User Temp%\tmp05\tmpfile.exe(M.exeのコピー)

マルウェアが実行する不正リモートユーザからのコマンドは、以下のとおりです。

• ディスク・ドライブの列挙
• Webカメラの列挙およびビデオの監視やキャプチャ
• MSNメッセンジャのステータスの変更およびコンタクトリストの変更
• コンピュータをシャットダウン、再起動、ログオフまたはロック
• ゴミ箱を空にする
• 任意のコマンド＆コントロール（C&C）サーバにアクセス
• アクティブなウィンドウの列挙
• リモートシェルコマンドの実行
• ファイルのダウンロードおよび実行
• ファイルのアップロード
• キー入力操作情報の記録
• ログのリフレッシュまたは削除
• コンピュータのホストファイルの改変
• 音声の記録および再生
• CD-ROMドライブドアの開閉
• パスワードの窃取
• TORRENTファイルの取得
• Wifiのリフレッシュ
• プログラムのアンインストール
• チャットセッションの開始および操作
• リモートデスクトッププロトコルによるアクティビティの監視
• 「分散型サービス拒否（DDoS）攻撃」の実行
• 以下を操作する
• ブラウザ
• クリップボード
• デスクトップ
• ダイアログボックス
• ファイル
• フォルダ
• マウスクリック
• プロセス
• レジストリ
• サービス
• シャットダウンのオプション
• スタートボタン
• システム・クロック
• システム・トレイ
• タスクバー
• 以下を実行してコンピュータのセキュリティレベルを下げる
• 更新の通知を無効にする
• セキュリティ対策製品の通知を無効にする
• ファイアウォールを無効にする
• サービスを無効にする
• Luaの通知を無効にする
• レジストリツールの無効
• タスクマネジャの無効
• コントロールパネルの無効

マルウェアが収集する情報は以下のとおりです。

• 管理者権限
• コンピュータ名およびユーザ名
• 言語および国名
• オペレーティングシステム（OS）の情報
• 使用されているメモリ(RAM)
• Webカメラの情報

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください