&苍产蝉辫;解析者: Michael Cabel   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、システム情报を収集します。 マルウェアは、ユーザのキー入力操作情报を记録し、情报を収集します。

  詳細

ファイルサイズ 654,096 bytes
メモリ常驻 はい
発见日 2012年11月13日
ペイロード システムセキュリティへの感染活動, キー入力操作情報の記録, URLまたはIPアドレスに接続, 情报収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の无害なファイルを作成します。

  • %Application Data%\Microsoft\Windows\{Random File Name}.cfg
  • %Application Data%\Microsoft\Windows\{Random File Name}.xtr
  • %Application Data%\plugin.dat
  • %Application Data%\2.ico
  • %Current Folder%\plugin.dat
  • %User Temp%\winxp7
  • %User Temp%\winxp8
  • %Application Data%\Rood.3gp
  • %Application Data%\GDIPFONTCACHEV1.DAT
  • %User Temp%\2.ico
  • %User Temp%\.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\IDF.exe
  • %Application Data%\Microsoft Word Update.exe
  • %Application Data%\tempp.exe
  • %Application Data%\winrar.exe
  • %Application Data%\smss.exe
  • %User Temp%\Microsoft Word.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • brSTgHafH

マルウェアは、以下の通常のプロセスにスレッドを组み込みます。

  • %System%\sethc.exe

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自动実行方法

マルウェアは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

  • ? ? ? ? .lnk

他のシステム変更

マルウェアは、インストールの过程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
{Malware Path} = {Malware Path}

HKEY_CURRENT_USER\Software\XtremeRAT
Mutex = {Random Values}

マルウェアは、インストールの过程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\qv1668809101y.oac

HKEY_CURRENT_USER\Software\IDF 23-9

HKEY_CLASSES_ROOT\he1779463363a.pqb

HKEY_CURRENT_USER\Software\yjudhfvjndghjghj

HKEY_CLASSES_ROOT\rz1263048663h.byi

HKEY_CURRENT_USER\Software\brSTgHafH

HKEY_CLASSES_ROOT\ep1839519877p.otz

HKEY_CURRENT_USER\Software\remote

HKEY_CLASSES_ROOT\pe1771047725g.bgt

バックドア活动

マルウェアは、以下のポートを开き、リモートコマンドを待机します。

  • TCP port 50001
  • TCP port 12001

マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}3.no-ip.net
  • {BLOCKED}1.no-ip.net
  • skype.{BLOCKED}p3.com
  • {BLOCKED}f.blogsite.org
  • test.{BLOCKED}odem.org
  • {BLOCKED}2.no-ip.net

情报漏えい

マルウェアは、システム情报を収集します。

マルウェアは、ユーザのキー入力操作情报を记録し、情报を収集します。

情报収集

マルウェアは、以下のファイル内に収集した情报を保存します。

  • %Application Data%\logs.dat
  • %Application Data%\winxplog.dat
  • %Current Folder%\logs.dat
  • %Application Data%\Microsoft\Windows\{Random File Name}.dat

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.488.04
初回 VSAPI パターンリリース日 2012年10月26日
VSAPI OPR パターンバージョン 9.489.00
VSAPI OPR パターンリリース日 2012年10月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

奥颈苍诲辞飞蝉をセーフモードで再起动します。

[ 詳細 ]

手順 3

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software
    • WinRAR SFX
  • In HKEY_CURRENT_USER\Software
    • XtremeRAT
  • In HKEY_CLASSES_ROOT
    • qv1668809101y.oac
  • In HKEY_CURRENT_USER\Software
    • IDF 23-9
  • In HKEY_CLASSES_ROOT
    • he1779463363a.pqb
  • In HKEY_CURRENT_USER\Software
    • yjudhfvjndghjghj
  • In HKEY_CLASSES_ROOT
    • rz1263048663h.byi
  • In HKEY_CURRENT_USER\Software
    • brSTgHafH
  • In HKEY_CLASSES_ROOT
    • ep1839519877p.otz
  • In HKEY_CURRENT_USER\Software
    • remote
  • In HKEY_CLASSES_ROOT
    • pe1771047725g.bgt

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\logs.dat
  • %Application Data%\winxplog.dat
  • %Current Folder%\logs.dat
  • %Application Data%\Microsoft\Windows\{Random File Name}.dat
  • %User Startup%\ ? ? ? ?.lnk
  • %User Temp%\2.ico
  • %User Temp%\.exe
  • %Application Data%\Microsoft\Windows\{Random File Name}.cfg
  • %Application Data%\Microsoft\Windows\{Random File Name}.xtr
  • %Application Data%\plugin.dat
  • %Application Data%\2.ico
  • %Current Folder%\plugin.dat
  • %User Temp%\winxp7
  • %User Temp%\winxp8
  • %Application Data%\Rood.3gp
  • %Application Data%\GDIPFONTCACHEV1.DAT

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_XTRAT.LTY」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。