Trend Micro Security

TROJ_GRAYBIRD

2013年7月15日

 別名:

Delf, Emerleox, Logsnif, Graybird, Pcclient

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

HUPIGON」は、バックドア型マルウェアで構成されているファミリです。このファミリは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。「HUPIGON」ファミリの亜種は、複数のファイルや自身のコピーを作成します。

「HUPIGON」ファミリの亜種は、不正リモートユーザが感染コンピュータへアクセスすることを可能にするために、ポートの開設またはサーバーへの接続を行います。感染コンピュータへのアクセスが確立すると、不正リモートユーザは、「ファイルおよびフォルダの削除」や「ファイルのダウンロードおよび実行」、「プロセスの終了」といったコマンドを感染コンピュータ上で実行します。

このファミリの亜種は、感染コンピュータに関する情報を収集する可能性があります。また、記録したユーザのキー操作入力情報やパスワード、他のユーザの認証情報などといった情報を収集する機能を備えています。


  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\IEXPL0RER.bat
  • %System%\pchsvc.dll
  • %System%\Sysclt.dll
  • %System%\Systen.dll
  • %Windows%\{random}.dat
  • %Windows%\{random}.dll

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\pchsvc.dll
  • %Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe
  • %System%\IEXPL0RER.EXE
  • %Windows%\Hacker.com.cn.ini

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Asynchronous = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Impersonate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
DllName = "%System%\Systen.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS
Startup = "ServiceMain"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\winlogon.exe = "%System%\winlogon.exe:*:Enabled:Thunder"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Asynchronous = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Impersonate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
DllName = "%System%\Sysclt.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks
Startup = "ServiceMain"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ImagePath = ""%System%\IEXPL0RER.EXE " /service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
DisplayName = "NTDISK Instrumentation Driver Extensions"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension
Description = "BlackHole Remote Control Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ImagePath = "%Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
DisplayName = "Oogical Kisk Manager Administrative Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ImagePath = "%Windows%\Hacker.com.cn.ini"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
DisplayName = "Windows XP Vista"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\helpsvc\Parameters
ServiceMain = "ServiceMain"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\svchost.exe = "%System%\svchost.exe:*:Enabled:Thunder"

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\
QQ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\BITS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\TrkWks

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTDISK Driver Extension

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Oogical Kisk Manager Administrative Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows XP Vista

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\helpsvc\Parameters
ServiceDll = "%System%\pchsvc.dll"

(註:変更前の上記レジストリ値は、「%Windows%\PCHealth\HelpCtr\Binaries\pchsvc.dll」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • baobao550.{BLOCKED}8.net
  • dico666.go.{BLOCKED}2.org
  • gang0007.go.{BLOCKED}2.org
  • hkago.{BLOCKED}2.org
  • kaihai520.go3.{BLOCKED}n.com
  • kuaihuo128.go1.{BLOCKED}n.com
  • sixup.{BLOCKED}2.org
  • sixup.go.{BLOCKED}2.org
  • user.free.{BLOCKED}9.net
  • vip2.{BLOCKED}3.com
  • waxy.go3.{BLOCKED}n.com
  • www.{BLOCKED}b.net
  • www.{BLOCKED}i.cn
  • xiaolidong.{BLOCKED}p.net
  • xiaolidong1.go.{BLOCKED}2.org


  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください