Trend Micro Security

SIMDA

2012年11月6日
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

SIMDA」は、ユーザ名やパスワード、認証情報といった情報を収集する機能を備えたバックドア型マルウェアのファミリです。マルウェアは、キー入力操作情報の収集およびHTMLインジェクションの不正活動を介して情報を収集します。また、マルウェアは、バックドアのコマンドを実行し、感染コンピュータのセキュリティを侵害します。以下は、SIMDAの亜種によって実行されるバックドアのコマンドを示したものです。

  • システムファイルの改変または削除によるオペレーティングシステム(OS)の無効化

  • 自身の開始/終了

  • 訪問したWebページへのスクリプトの挿入

  • 重要なレジストリキーの削除による感染コンピュータの無効化

  • 任意のファイルのダウンロードおよび実行

  • 環境設定ファイルの更新版のダウンロード

  • ファイルのアップロード

  • アプリケーションの実行または終了

  • ファイルの削除

  • システム設定の改変

  • 認証情報の収集

SIMDAの他の注目すべき不正活動として、仮想環境で実行された場合、自身を終了する機能を備えている点が挙げられます。また、マルウェアは、自身の検出と削除を避けるため、セキュリティ関連のプロセスを終了します。加えて、マルウェアは、パスワードのリストを用いて、管理者として感染コンピュータにログオンします。

  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, 情報収集, プロセスの強制終了

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\AppPatch\{random}.exe
  • %Windows%\AppPatch\{random}.dat

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
b0b2d6e3 = "%Windows%\apppatch\{random}.dat"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, %Windows%\apppatch\{random}.exe,"

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, %Windows%\AppPatch\{random}.dat,"

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
b0b2d6e3 = "{characters}"

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:Windows Explorer"

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Profile%\Application Data\b0b2d761a
  • %User Profile%\Application Data\B0B2D7A3a
  • %User Profile%\Application Data\{random}
  • %User Profile%\Application Data\{random1}

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{random}.com/login.php

  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください