Trend Micro Security

BKDR_REDLEAVES.LCLF

2018年5月17日
 解析者: Johnlery Triunfante   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 98,304 bytes
タイプ DLL
メモリ常駐 はい
発見日 2018年4月17日
ペイロード システム情報の収集, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • svchost.exe

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • E67568Sj

マルウェアは、以下のプロセスにコードを組み込みます。

  • created svchost.exe

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute commands using command prompt
  • Send the following system information:
    • System name
    • System architecture
    • Operating system minor and major version
    • Memory
    • CPU information
    • Language
    • Privlige of the current process
    • Group permissions
    • System uptime
    • IP address
  • Upload/Download files
  • Update itself
  • List drives, files and folders
  • Delete files
  • Create/Read/Write to a *.tmp file
  • Execute files
  • Terminate processes

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • https://{BLOCKED}edupdatecenter.{BLOCKED}y.com

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

  • VMwareHostOpen.exe → Non-malicious, executable that calls the malicious export located within the malware.
  • hgfs.dll → Non-malicious, needed by VMwareHostOpen.exe to properly run.
  • VMware.S82D → encrypted shellcode used by the malware.

<補足>

インストール

マルウェアは、追加した以下のプロセスにコードを組み込みます。

  • svchost.exe

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • コマンドプロンプトを用いてコマンドを実行する
  • 以下のコンピュータ情報を送信する
    • システム名
    • システムアーキテクチャ
    • オペレーティングシステム(OS)のメジャーバージョンとマイナーバージョン
    • メモリ
    • CPU情報
    • 言語
    • 現在のプロセスの権限
    • グループアクセス権
    • システムの稼働状況
    • IPアドレス
  • ファイルのアップロードおよびダウンロード
  • 自身の更新
  • ドライブ、ファイル、フォルダの一覧表示
  • ファイルの削除
  • *.tmp file の作成/読み込み/書き込み
  • ファイルの実行
  • プロセスの終了

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

  • VMwareHostOpen.exe → 無害なファイル。マルウェアに含まれる、悪意あるexportを呼び出す実行可能ファイル。
  • hgfs.dll → 無害なファイル。上記のVMwareHostOpen.exe が正常に実行されるために利用される。
  • VMware.S82D → マルウェアに利用される暗号化されたシェルコード。

マルウェアの暗号化されたコンポーネントを復号して実行するためには、以下の引数が必要となります。

  • VMwareHostOpen.exe --url VgTpIeYVjUdZiNYr_{暗号化されたコンポーネントのパスとファイル名}

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.200.05
初回 VSAPI パターンリリース日 2018年4月19日
VSAPI OPR パターンバージョン 14.201.00
VSAPI OPR パターンリリース日 2018年4月20日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_REDLEAVES.LCLF」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください