BKDR_PUSHDO.YQ

2014年1月6日

解析者: Jimelle Monteser

別名:

Backdoor.Win32.Pushdo.rie (Kaspersky)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 129,536 bytes

タイプ EXE

メモリ常駐はい

発見日 2013年12月19日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Profile%\ryxrezulmebc.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のフォルダを作成します。

%Application Data%\Microsoft\Crypto
%Application Data%\Microsoft\Crypto\RSA
%Application Data%\Microsoft\Crypto\RSA\{GUID}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ryxrezulmebc = "%User Profile%\ryxrezulmebc.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{random numbers} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{random numbers} = "{random values}"

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random values}"

作成活動

マルウェアは、以下のファイルを作成します。

%Application Data%\Microsoft\Crypto\RSA\{GUID}\{random filename}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

{BLOCKED}utaire.com
{BLOCKED}eratorsolutions.com
{BLOCKED}modationinvenice.com
{BLOCKED}ntancywales.com
{BLOCKED}swift.com
{BLOCKED}a.com.br
{BLOCKED}ctory.net
{BLOCKED}eday.com
{BLOCKED}-vids.com
{BLOCKED}eticsoft.com
{BLOCKED}oatsys.com
{BLOCKED}wared.com
{BLOCKED}-cristina.fr
{BLOCKED}elhost.com
{BLOCKED}et.org
{BLOCKED}4.gmail-smtp-in.l.google.com
{BLOCKED}er.ru
{BLOCKED}i.com
{BLOCKED}eturadigital.com
{BLOCKED}indo.com
{BLOCKED}ce-web.net
{BLOCKED}printing.com
{BLOCKED}cesoria.com.pl
{BLOCKED}teller.com
{BLOCKED}ass-takatsuki.com
{BLOCKED}nsdespetits.com
{BLOCKED}y.com
{BLOCKED}kel.be
{BLOCKED}fulworksforyou.com
{BLOCKED}oodmetalworks.com
{BLOCKED}inic.net
{BLOCKED}raelcenter.org
{BLOCKED}o.com
{BLOCKED}multimedia.com
{BLOCKED}k.com
{BLOCKED}ex.pl
{BLOCKED}mvalleybiblechurch.com
{BLOCKED}corso.com
{BLOCKED}se.ro
{BLOCKED}dia.com
{BLOCKED}lkorfball.org
{BLOCKED}arm.com.au
{BLOCKED}d.com
{BLOCKED}ey.com
{BLOCKED}lmedia.com
{BLOCKED}ege.org
{BLOCKED}nic.com
{BLOCKED}ofs.com
{BLOCKED}geny.net
{BLOCKED}ting.com.au
{BLOCKED}an.com
{BLOCKED}cations.com
{BLOCKED}lth.com
{BLOCKED}lafeed.com
{BLOCKED}ya.com
{BLOCKED}s.com
{BLOCKED}ope.com
{BLOCKED}tecovers.com
{BLOCKED}select.com
{BLOCKED}uscle.com
{BLOCKED}upplies.net
{BLOCKED}e.com.br
{BLOCKED}m.com.br
{BLOCKED}donmarketing.com
{BLOCKED}basementsystems.com
{BLOCKED}ystems.com
{BLOCKED}h.com
{BLOCKED}ex.co.in
{BLOCKED}s.com
{BLOCKED}ion507.com
{BLOCKED}lerepairguy.com
{BLOCKED}oach.ch
{BLOCKED}housetravelclinic.com
{BLOCKED}ney.ca
{BLOCKED}msignstore.com
{BLOCKED}ervice.de
{BLOCKED}edia.com
{BLOCKED}naffair.org
{BLOCKED}racyctr.org
{BLOCKED}ltd.com.tr
{BLOCKED}ndkittycats.com
{BLOCKED}alshell.net
{BLOCKED}alsmarthomes.com
{BLOCKED}erry.com
{BLOCKED}sting.com
{BLOCKED}mepacificrepairs.com
{BLOCKED}t4.{BLOCKED}p-in.l.google.com
{BLOCKED}otek.com
{BLOCKED}ossomvalleybiblechurch.com
{BLOCKED}mbridgeny.net
{BLOCKED}ntinelafeed.com
{BLOCKED}opcoach.ch
{BLOCKED}urthousetravelclinic.com
{BLOCKED}starchofamerica.com
{BLOCKED}rden-cook.com
{BLOCKED}ail-smtp-in.l.google.com
{BLOCKED}1.smtp.{BLOCKED}ngengine.com
{BLOCKED}il7.{BLOCKED}lwaves.co.nz
{BLOCKED}ndysflorist.com
{BLOCKED}s.mail.ru
{BLOCKED}jnail.com
{BLOCKED}intball.be
{BLOCKED}flite.com
{BLOCKED}ot.com.pl
{BLOCKED}rnayabogados.com
{BLOCKED}latino.org
{BLOCKED}bo-separator.ch
{BLOCKED}card.com
{BLOCKED}perisp.com
{BLOCKED}pa.com.mx
{BLOCKED}t.co.uk
{BLOCKED}c-vp.com
{BLOCKED}rite.com
{BLOCKED}kyaku.com
{BLOCKED}ming.com
{BLOCKED}m.org
{BLOCKED}steye.com
{BLOCKED}n.com
{BLOCKED}a.org.pl
{BLOCKED}terno.com
{BLOCKED}l.gr
{BLOCKED}dalia.com
{BLOCKED}ravels.com
{BLOCKED}atsanat.com
{BLOCKED}les.com
{BLOCKED}i.com
{BLOCKED}zio.net
{BLOCKED}o.net
{BLOCKED}sur.com
{BLOCKED}gin.com
{BLOCKED}-gekijo.com
{BLOCKED}rphonecover.com
{BLOCKED}rco.it
{BLOCKED}opinion.org
{BLOCKED}lmes.com.br
{BLOCKED}ickallergy.com
{BLOCKED}nebro.com.es
{BLOCKED}ligonier.org
{BLOCKED}last.com
{BLOCKED}ngonlinemagazine.com
{BLOCKED}stuff.com
{BLOCKED}-cook.com
{BLOCKED}undation.com
{BLOCKED}xrecords.com
{BLOCKED}isions.com
{BLOCKED}rmusa.com
{BLOCKED}aymonda.com
{BLOCKED}u.net
{BLOCKED}k.com.pl
{BLOCKED}l-smtp-in.l.google.com
{BLOCKED}stusa.com
{BLOCKED}rk-moossee.ch
{BLOCKED}ll.com.kh
{BLOCKED}mestove.com
{BLOCKED}hicago.com
{BLOCKED}roft.org
{BLOCKED}exus.com.ar
{BLOCKED}unez.com
{BLOCKED}bfemales.com
{BLOCKED}design.com
{BLOCKED}ood.com
{BLOCKED}d.net
{BLOCKED}n.com
{BLOCKED}wiese.de
{BLOCKED}yim.com
{BLOCKED}ortonmedellin.com
{BLOCKED}rvices.com
{BLOCKED}chem.com
{BLOCKED}asphalt.com
{BLOCKED}d.com.br
{BLOCKED}unications.com
{BLOCKED}co.com
{BLOCKED}argas.com.br
{BLOCKED}omocions.com
{BLOCKED}x.com.pl
{BLOCKED}1.smtp.{BLOCKED}ingengine.com
{BLOCKED}unction.com
{BLOCKED}tway.net
{BLOCKED}k.com
{BLOCKED}rnataka.org
{BLOCKED}h.com
{BLOCKED}glish.net
{BLOCKED}inman.com
{BLOCKED}lantic.com
{BLOCKED}r.com
{BLOCKED}lledebain.net
{BLOCKED}club.com
{BLOCKED}nnect.co.za
{BLOCKED}uen.com
{BLOCKED}okuren.com
{BLOCKED}o.com
{BLOCKED}al.com
{BLOCKED}4.com
{BLOCKED}es.net
{BLOCKED}uegoldens.com
{BLOCKED}anko.org
{BLOCKED}gine.com
{BLOCKED}i.or.jp
{BLOCKED}iage.com
{BLOCKED}.com
{BLOCKED}ymuskies.com
{BLOCKED}llar.com
{BLOCKED}rtpark.org
{BLOCKED}ic.com
{BLOCKED}ldonhotel.co.uk
{BLOCKED}j.or.jp
{BLOCKED}gor.co.kr
{BLOCKED}h.info
{BLOCKED}7.{BLOCKED}lwaves.co.nz
{BLOCKED}uelandsonscarpetcleaning.net
{BLOCKED}antralaya.com
{BLOCKED}t.com
{BLOCKED}eware.com
{BLOCKED}ussiecologia.com
{BLOCKED}ne.com
{BLOCKED}asarch.com
{BLOCKED}yshorr.com
{BLOCKED}ron.com
{BLOCKED}bridge.com.au
{BLOCKED}mart.com
{BLOCKED}xllinia.com
{BLOCKED}lodge.com
{BLOCKED}p.com
{BLOCKED}sflorist.com
{BLOCKED}s.mail.ru
{BLOCKED}ecenter.com
{BLOCKED}eller.com.au
{BLOCKED}a67.com
{BLOCKED}gurus.com
{BLOCKED}en.com
{BLOCKED}iecurtiss.com
{BLOCKED}eralsoft.ro
{BLOCKED}gineering.com
{BLOCKED}i.net.pl
{BLOCKED}ve.org
{BLOCKED}rit.com
{BLOCKED}a-koi.com
{BLOCKED}k.com
{BLOCKED}l.com
{BLOCKED}e.net
{BLOCKED}ch.com
{BLOCKED}tech.com.au
{BLOCKED}dholidayparade.com
{BLOCKED}land.com
{BLOCKED}itbeach.com
{BLOCKED}megamefeeders.com
{BLOCKED}net.net
{BLOCKED}unity-inc.com
{BLOCKED}s.org
{BLOCKED}yporras.com
{BLOCKED}sulting.com
{BLOCKED}tivini.com
{BLOCKED}indy.com
{BLOCKED}elphiatheatrecompany.org
{BLOCKED}raphe-31.com
{BLOCKED}oldie.com
{BLOCKED}ionglass.com
{BLOCKED}rhotels.co.za
{BLOCKED}uctions.com
{BLOCKED}ypunch.com
{BLOCKED}ytng.com
{BLOCKED}tackwarehouse.com.au
{BLOCKED}ndgroup.com
{BLOCKED}efield.co.uk
{BLOCKED}ft.ru
{BLOCKED}rs.co.il
{BLOCKED}ng.net
{BLOCKED}formatica.net
{BLOCKED}e.com
{BLOCKED}b.net
{BLOCKED}fg.com
{BLOCKED}ign.com
{BLOCKED}berg.com
{BLOCKED}hi-jp.com
{BLOCKED}scorpion.com
{BLOCKED}ans.com
{BLOCKED}tch.com
{BLOCKED}textile.com
{BLOCKED}mic.com
{BLOCKED}derantwih.com
{BLOCKED}ishikawa.com
{BLOCKED}escorp.com
{BLOCKED}xp.com
{BLOCKED}g.net
{BLOCKED}ns-huynh.org
{BLOCKED}t.com.pl
{BLOCKED}eloans.com
{BLOCKED}p.lt
{BLOCKED}p.live.com
{BLOCKED}ystem.com
{BLOCKED}dorganizing.com
{BLOCKED}linksgolf.com
{BLOCKED}npower.com
{BLOCKED}rewspres.com
{BLOCKED}m.nl
{BLOCKED}son.com
{BLOCKED}ster.com
{BLOCKED}shoes.com
{BLOCKED}tufi.com
{BLOCKED}n.com
{BLOCKED}ng-video.com
{BLOCKED}avis.com
{BLOCKED}e-sinai.net
{BLOCKED}ak.org
{BLOCKED}ofhair.com
{BLOCKED}ospas.com
{BLOCKED}elnet.com
{BLOCKED}oloft.com
{BLOCKED}ntinghouseltd.co.uk
{BLOCKED}is.nl
{BLOCKED}trading.it
{BLOCKED}ukai.com
{BLOCKED}lbible.org
{BLOCKED}abogados.com
{BLOCKED}meuse.com
{BLOCKED}lgroup.com
{BLOCKED}lau.com
{BLOCKED}ino.org
{BLOCKED}ls.com
{BLOCKED}o.net
{BLOCKED}separator.ch
{BLOCKED}rspring.com
{BLOCKED}o.com
{BLOCKED}u.org
{BLOCKED}owder.com
{BLOCKED}mrukleme.com
{BLOCKED}dn.org
{BLOCKED}edu.bo
{BLOCKED}aproject.com
{BLOCKED}value.com
{BLOCKED}r.by
{BLOCKED}d.com
{BLOCKED}ypublicsafety.com
{BLOCKED}ues.com
{BLOCKED}ingcenter.org
{BLOCKED}isp.com
{BLOCKED}f.{BLOCKED}ana.gov
{BLOCKED}r.com
www.{BLOCKED}oodmetalworks.com
www.{BLOCKED}ex.pl
www.{BLOCKED}cope.com
www.{BLOCKED}nnect.co.za
www.{BLOCKED}center.com
www.{BLOCKED}ush.com
{BLOCKED}ywacze.com.pl
{BLOCKED}salt.com
{BLOCKED}eh.ru
{BLOCKED}orlandogetaway.com
{BLOCKED}.net
{BLOCKED}a.com.mx
{BLOCKED}c.com
{BLOCKED}net.co.jp
{BLOCKED}er.us

対応方法

対応検索エンジン: 9.700

初回 VSAPI パターンバージョン 10.496.05

初回 VSAPI パターンリリース日 2013年12月25日

VSAPI OPR パターンバージョン 10.497.00

VSAPI OPR パターンリリース日 2013年12月26日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ryxrezulmebc = "%User Profile%\ryxrezulmebc.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- {random numbers} = "{random values}"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- AppManagement = "{random values}"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- {random numbers} = "{random values}"
In HKEY_CURRENT_USER\Software\WinRAR
- HWID = "{random values}"

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\Microsoft\Crypto

手順 5

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「BKDR_PUSHDO.YQ」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください