• Email
• Facebook
• Twitter
• Google+
• Linkedin

BKDR_QBOT.BC

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。 マルウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、収集した情報をリモートサイトに送信します。

マルウェアは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\MICROSOFT\{random1}\{random2}.dll

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\MICROSOFT\{random1}\{random1}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\MICROSOFT\{random1}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {malware name}a
• Global\{random}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random3} = "%Application Data%\MICROSOFT\{random1}\{random1}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = "%Application Data%\MICROSOFT\{random1}\{random1}.exe /c %System%\ctfmon.exe"

(註：変更前の上記レジストリ値は、「"%System%\ctfmon.exe"」となります。)

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}s.{BLOCKED}v.ua
• {BLOCKED}m.{BLOCKED}v.ua
• {BLOCKED}n.org
• {BLOCKED}nz.net
• {BLOCKED}mausj.org
• {BLOCKED}tkrich.net
• {BLOCKED}carusled.org

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msdev.exe
• dbgview.exe
• mirc.exe
• ollydbg.exe
• ctfmon.exe

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• ay.wellsfargo.com
• express.53.com
• ctm.53.com
• itreasury.regions.com
• itreasurypr.regions.com
• cpw-achweb.bankofamerica.com
• businessaccess.citibank.citigroup.com
• businessonline.huntington.com
• /cmserver/
• goldleafach.com
• iachwellsprod.wellsfargo.com
• achbatchlisting
• /achupload
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• wc.wachovia.com
• commercial.wachovia.com
• wcp.wachovia.com
• chsec.wellsfargo.com
• wellsoffice.wellsfargo.com
• /ibws/
• /stbcorp/
• /payments/ach
• trz.tranzact.org
• /wiret
• /payments/ach
• cbs.firstcitizensonline.com
• /corpach/
• scotiaconnect.scotiabank.com
• webexpress.tdbank.com
• businessonline.tdbank.com
• /wcmpw/
• /wcmpr/
• /wcmtr/
• tcfexpressbusiness.com
• trz.tranzact.org

マルウェアは、収集した情報をリモートサイトに送信します。

その他

マルウェアは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

• explabs.
• sanasecurity
• phishtank.com
• hautesecure.com
• truste.com
• clearclouddns
• webroot.
• agnitum
• ahnlab
• arcabit
• avast
• avg
• avira
• avp
• bitdefender
• bit9
• castlecops
• centralcommand
• clamav
• comodo
• computerassociates
• cpsecure
• defender
• drweb
• emsisoft
• esafe
• .eset
• etrust
• ewido
• fortinet
• f-prot
• f-secure
• gdata
• grisoft
• hacksoft
• hauri
• ikarus
• jotti
• k7computing
• kaspersky
• malware
• mcafee
• networkassociates
• nod32
• norman
• norton
• panda
• pctools
• prevx
• quickheal
• rising
• rootkit
• securecomputing
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• threatexpert
• threatfire
• trendmicro
• virus
• wilderssecurity
• windowsupdate
• update.microsoft.
• download.microsoft.

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください