Backdoor.MSIL.REMCOS.AOJ

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

トレンドマイクロは、メール送信者が国際輸送物流会社「DHL」であるかのように偽装したスパム活動を介して拡散するマルウェアを確認しました。マルウェアは、なりすましメールに添付された「.iso」ファイルとしてコンピュータに到達します。マルウェアはスペアフィッシング活動のために利用されていると考えられます。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\OEM\systeminfo.exe

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のファイルを作成します。

• %Application Data%\remcos\logs.dat -> record of user's activities/keylogs

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• {malware path and file name}
• %Program Files%\Internet Explorer\iexplore.exe

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\remcos
• %User Profile%\OEM

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Remcos_Mutex_Inj
• Remcos-{random}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
Load = "%User Profile%\OEM\systeminfo.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\remcos_{Random}
exepath = {hex values}

HKEY_CURRENT_USER\Software\Remcos-{random}
licence = {random}

HKEY_CURRENT_USER\Software\Remcos-{random}
Inj = 1

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Activate keylogger
• Capture audio, or stop capture
• Capture screen
• Change desktop wallpaper
• Change, pause, stop, or start a service
• Clear browser hisotry
• Close a window
• Close affected system's camera
• Close connection
• Connect to a specified server
• Control affected system's camera
• Deactive keylogger
• Delete registry key/entry
• Enumerate registry key/entry
• Modify/add registry entry
• Delete file or directory
• Download a file
• Read a file
• Save a file
• Upload a file
• Empty clipboard data
• Execute a command
• Get active program's window title
• Get clipboard data
• Get process ID of a window
• Get system information
• Hide or show a window
• List files in specified directory
• List installed applications
• List keyboard information
• List running processes
• List windows
• Log off, restart, or shut down the affected system
• Modify a window
• Play an audio in the affected system
• Restart itself
• Show message box
• Terminate a process
• Terminate itself
• Uninstall itself
• Update itself

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• rennelautos.{BLOCKED}w.com:2404
• rennelautos.{BLOCKED}o.org:2404
• kellyben.{BLOCKED}o.org:2404
• jkharding2014.{BLOCKED}s.net:2404
• sunwap878.{BLOCKED}s.net:2404
• sunwap878.{BLOCKED}u.net:2404
• jessen.{BLOCKED}o.org:2404
• jessen.{BLOCKED}s.rocks:2404

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Remcos-{random}

マルウェアは、以下を実行します。

• This Backdoor gathers the following information and reports it to its servers:
  • Computer Name
  • Operating System Version
  • Product Name
  • Primary Adapter
  • User Access (Admin or Non-admin)
  • User Profile
  • User Name
  • User Domain
  • Processor Revision No.
  • Processor Level
  • Processor Identifier
  • Processor Architecture
  • System Type (32-bit or 64-bit)

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\remcos\logs.dat → ユーザの行動/キー入力操作情報の記録

マルウェアは、以下のプロセスを追加します。

• {マルウェアのパスおよびファイル名}

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Remcos-{ランダム}

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• キーロガーの有効化
• 音声のキャプチャ、またはキャプチャの停止
• 画面のキャプチャ
• デスクトップの壁紙の変更
• サービスの変更、ポーズ、または開始
• 閲覧履歴の削除
• ウインドウを閉じる
• 感染コンピュータのカメラを閉じる
• 接続の停止
• 特定のサーバへの接続
• 感染コンピュータのカメラの操作
• キーロガーの無効化
• レジストリキー/エントリの削除
• レジストリキー/エントリの列挙
• レジストリエントリの変更/追加
• ファイルまたはディレクトリの削除
• ファイルのダウンロード
• ファイルの読み込み
• ファイルの保存
• ファイルのアップデート
• クリップボードのデータの削除
• コマンドの実行
• アクティブなプログラムのウィンドウタイトルの取得
• クリップボードのデータの取得
• ウィンドウのプロセスIDの取得
• コンピュータ情報の取得
• ウインドウの非表示または表示
• 特定のディレクトリ内のファイル一覧
• インストールされているアプリケーション一覧
• キーボード情報の一覧
• 実行中のプロセスの一覧
• ウインドウの一覧
• 感染コンピュータのログオフ、再起動、またはシャットダウン
• ウインドウの変更
• 感染コンピュータ内でオーディオの再生
• 自身で再起動
• メッセージボックスの表示
• プロセスの終了
• 自身の終了
• 自身のアンイストール
• 自身のアップデート

その他

マルウェアは、以下を実行します。

• マルウェアは、以下の情報を収集し自身のサーバに報告します。
  • コンピュータ名
  • オペレーティングシステム（OS）のバージョン
  • 製品名
  • プライマリアダプタ
  • ユーザのアクセス権 (管理者または管理者以外)
  • ユーザプロファイル
  • ユーザ名
  • ユーザドメイン
  • プロセッサリビジョン番号
  • プロセッサレベル
  • プロセッサ識別子
  • プロセッサアーキテクチャ
  • システムタイプ（32ビットまたは64ビット）