Trend Micro Security

TROJ_BADUR.NIR

2014年3月29日
 解析者: Alvin John Nieto   
 別名:

Trojan.Win32.Badur.hbhr (Kaspersky), Win32/TrojanDownloader.Delf.AIC.trojan (ESET)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 248,320 bytes
タイプ EXE
発見日 2014年3月22日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\Flash\Launch.bat
  • %Application Data%\Flash\libgmp-3.dll
  • %Application Data%\Flash\msvcp120.dll
  • %Application Data%\Flash\msvcr120.dll
  • %Application Data%\Flash\RapidPrime.exe
  • %User Temp%\CNB_0275.exe
  • %User Temp%\setup.dat

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\Flash

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

  • %User Startup%\flashsec.lnk
  • %User Startup%\flashupdate.lnk

(註:%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}.{BLOCKED}.248.85/sgminer.exe
  • http://{BLOCKED}.{BLOCKED}.248.85/firstsg.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/updatesg.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/flashsec.exe
  • http://{BLOCKED}.{BLOCKED}.248.85/startsec.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/updatesec.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/alien_clicker.exe
  • http://{BLOCKED}.{BLOCKED}.248.85/startcl.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/updatecl.vbs
  • http://{BLOCKED}.{BLOCKED}.248.85/info.txt
  • http://{BLOCKED}54hhdf.com/report.log

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Application Data%\Flash\firstsg.vbs
  • %Application Data%\Flash\flashcl.exe
  • %Application Data%\Flash\flashsec.exe
  • %Application Data%\Flash\info.txt
  • %Application Data%\Flash\sgminer.exe
  • %Application Data%\Flash\startcl.vbs
  • %Application Data%\Flash\startsec.vbs
  • %Application Data%\Flash\updatecl.vbs
  • %Application Data%\Flash\updatesec.vbs
  • %Application Data%\Flash\updatesg.vbs

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)