TSPY_NFLOG
NfLog
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
スパイウェアは、ダウンロードしたファイルを実行します。
スパイウェアは、実行後、自身を削除します。
詳細
インストール
スパイウェアは、以下のファイルを作成します。
- %Temp%\$NtUninstallKB942388$ - contains stolen information
- %Temp%\NfIpv6.ocx - also detected as BKDR_NFLOG
- %Temp%\checkup.exe - also detected as BKDR_NFLOG
- %User Temp%\word.doc - non-malicious DOC file
- %User Temp%\±ØÒª.pdf - non-malicious PDF file
- %Temp%\YahooCache.ini
(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- svchost.exe
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
Type = "20"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
DisplayName = "IPv6 Stack Local Support"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
Description = "Net address translation for IPv6 Protocol."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP\Parameters
ServiceDll = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP\Security
Security = "{hex values}"
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP\Security
スパイウェアは、以下のレジストリ値を追加します。
HKEY_USERS\.DEFAULT\Software\
Microsoft\Clock
HID = "{hex values}"
スパイウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "NetworkService's %Temporary Internet Files%\Content.IE5"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "NetworkService's %Temporary Internet Files%\Content.IE5\Cache1"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "NetworkService's %Temporary Internet Files%\Content.IE5\Cache2"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "NetworkService's %Temporary Internet Files%\Content.IE5\Cache3"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache3」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "NetworkService's %Temporary Internet Files%\Content.IE5\Cache4"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache4」となります。)
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download files
- Perform remote shell
- Retrieve system information
- Update self
スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://www.{BLOCKED}eaderupdating.com/norton/NfCommand.asp?
- http://www.{BLOCKED}eaderupdating.com/norton/Nfpredown.asp?
- http://www.{BLOCKED}eaderupdating.com/norton/NfHostInfo.asp?
- http://www.{BLOCKED}eaderupdating.com/norton/NfCommand.asp?
- http://www.{BLOCKED}eaderupdating.com/norton/NfStart.asp?
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/NfCommand.asp
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/NfHostInfo.as
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/Nfile.asp
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/Nfpredown.asp
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/NfStart.asp
- http://{BLOCKED}t194.{BLOCKED}n.com/norton/TTip.asp
- http://{BLOCKED}t.{BLOCKED}025.dns345.cn/norton/TTip.asp
- http://{BLOCKED}t.{BLOCKED}025.dns345.cn/norton/NfHostInfo.asp
- http://{BLOCKED}t.{BLOCKED}025.dns345.cn/norton/NfStart.asp
- http://{BLOCKED}t.{BLOCKED}025.dns345.cn/norton/Nfile.asp
スパイウェアは、コマンド&コントロール(C&C)サーバに以下の情報を通知します。
- IP configuration
- Network statistics
- Running processes
- Running services
- System information
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{BLOCKED}t.{BLOCKED}025.dns345.cn/norton/Nfile.asp
- http://{BLOCKED}194.{BLOCKED}n.com/norton/Nfile.asp
- http://www.{BLOCKED}eaderupdating.com/norton/Nfile.asp
スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %Temp%\MSMAPI.OCX - also detected as BKDR_NFLOG
(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)
スパイウェアは、ダウンロードしたファイルを実行します。
その他
スパイウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。
- %Temp%\YahooCache.ini
(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)
スパイウェアは、実行後、自身を削除します。