Backdoor.Win64.OWLPROXY.B

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Executes Arbitrary Commands using cmd.exe
  • The following prefixes are needed to specify the mode of execution of the command:
  • w → the command is executed on the system and the output is sent back to the attacker in the response body.
  • rk; → the command is executed without sending back the command's output.
  • If no prefix, the command is executed on the system and the output is sent back to the attacker in the response body.
• "self uninstall" → removes itself from the system.

その他

マルウェアは、以下を実行します。

• It creates an HTTP service that will handle inbound HTTP requests to URLs based on the following UrlPrefix formats:
  • https://{BLOCKED}3/topics/ → remote CMD address
  • https://{BLOCKED}3/topics/pp/ → proxy address
• It checks incoming HTTP request that match these URLs for the following page parameters:
  • s?pa= → command execution
  • s?pp → proxy installation
• The received GET request could have the following commands:
  • connect → connection to the specified IP
  • recv → receives data from the IP
  • disconnect → close the connection
• It is packed using VMProtect which is a tool used to protect executable files from reverse engineering and tampering.