• Email
• Facebook
• Twitter
• Google+
• Linkedin

BKDR_SIMBOT.TRWR

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Windows%\msplugin.ps

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 78@WMIRCOM

マルウェアは、以下のプロセスにコードを組み込みます。

• svchost.exe

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
ImagePath = "{malware path and file name} -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
DisplayName = "Device Enumerator Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service
Description = "Enables applications to transfer and synchronize content using removable mass-storage devices."

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Device Enumerator Service\Enum

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\AppDataLow\
Software\Microsoft\svchost
BinData = "{encrypted C&Cs}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute arbitrary files - saved as %User Temp%\svc{random number}.tmp or %User Temp%\sae{random number}.tmp

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}ds.de/cart/adm/in.php
• http://www.{BLOCKED}ng.de/a_inc/bbs/read_comment_update.php
• http://www.{BLOCKED}c.org/intraweb/mantisbt/admin/install_db.php
• http://www.{BLOCKED}e.ac.jp/modalfiles/opinion.php
• http://www.{BLOCKED}g.de/backup/includes/domit/don_xmlrpc_client.php
• http://www.{BLOCKED}neksda.com.au/modules/board/conf/module.php

ただし、情報公開日現在、このサーバには接続できません。

情報漏えい

マルウェアは、以下の情報を収集します。

• Network Adapter information
• Operating System version
• System time
• Computer name

その他

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください