Trend Micro Security

DARKCOMET

2014年9月3日

 別名:

Fynloski, Krademok, DarkKomet

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

「FYNLOS」としても知られる「DARKCOMET」は、多数の標的型攻撃で利用された「Remote Access Tool(RAT)」です。マルウェアは、Webカメラを介して画像の取得、コンピュータに接続されたマイクによる会話の傍受および感染コンピュータのフルコントロールの取得の機能を備えています。

また、このRATは、キー入力操作の記録とファイル転送機能で有名です。このように、任意の不正リモートユーザは、感染コンピュータ上の任意のファイルを読み込んだり、文書の収集でさえ可能となります。

「DARKCOMET」は、以下の情報を収集します。

  • 管理者権限
  • コンピュータ/ユーザ名
  • 言語/国
  • オペレーティングシステム(OS)の情報
  • 使用されているRAM
  • Webカメラの情報

マルウェアは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、マルウェアは自身を検出されることなく不正活動を実行することが可能になります。 マルウェアは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 マルウェアは、レジストリ値を変更し、Windowsのファイアウォールを無効にします。これにより、マルウェアは、自身を検出されることなく不正活動を実行することが可能になります。


  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, 情報収集

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Temp%\WinDefender.Exe
  • %Application Data%\VIA\vc.exe
  • %User Temp%\lsasrv.exe
  • %System%\Windupdt\winupdate.exe
  • %Application Data%\HostProcess\{malware name}.exe

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\dclogs
  • %Application Data%\VIA
  • %System%\Windupdt
  • %Application Data%\HostProcess

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinDefender = "%User Temp%\WinDefender.Exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
VIAChipset = "%Application Data%\VIA\vc.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft® Windows® Operating System = "%User Profile%\Templates\msadrh10.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winupdater = "%System%\Windupdt\winupdate.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HostProcess = "%Application Data%\HostProcess\{malware name}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\VIA\vc.exe"

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\DC3_FEXEC

マルウェアは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

マルウェアは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

マルウェアは、以下のレジストリ値を変更し、Windowsのファイアウォールを無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %Application Data%\dclogs\{date executed}-{number}.dc
  • %User Temp%\NovoUpdate.exe
  • %User Profile%\Templates\msadrh10.exe
  • %User Temp%\vbc.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}ount3.no-ip.org
  • {BLOCKED}604.no-ip.org
  • {BLOCKED}x-update.zapto.org
  • http://{BLOCKED}e.habbo-dev.com/files
  • {BLOCKED}554.no-ip.biz
  • {BLOCKED}ster1.no-ip.org
  • {BLOCKED}2.{BLOCKEDmedia.net


  対応方法

対応検索エンジン: 9.700

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください