BKDR_VAWTRAK.YUYAMY

2017年6月23日

解析者: Cris Nowell Pantanilla

別名:

Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)

プラットフォーム:

Windows

危険度:

感染確認数:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

詳細

ファイルサイズ 344,064 bytes

タイプ DLL

メモリ常駐はい

発見日 2017年6月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

Log keystrokes
Capture Screenshots
Open a process
Install Updates
List Process
Inject code to process
Download and execute files
Download configuration
Perform remote shell
Start VNC