BKDR_CINDYC.D

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• TROJ_MDROP.TOL

インストール

マルウェアは、以下のファイルを作成します。

• %User Profile%\Local Settings\help.dll - also detected as BKDR_CINDYC.D
• %User Profile%\Local Settings\tmp.bak - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL.bak - also detected as BKDR_CINDYC.D
• %User Temp%\help32.dll - also detected as BKDR_CINDYC.D

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、以下のプロセスを追加します。

• svchost.exe

マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

• svchost.exe

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• IMSCMig

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\ts

HKEY_CURRENT_USER\Software\ts\
explorer

HKEY_CURRENT_USER\Software\ts\
explorer\run

HKEY_CURRENT_USER\Software\ts\
NonEnum

HKEY_CURRENT_USER\Software\ts\
Ratings

HKEY_CURRENT_USER\Software\ts\
system

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software
{random number} = "F0F996E3"

HKEY_CURRENT_USER\Software
key = "1"

HKEY_CURRENT_USER\Software\ts\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{0DF44EAA-FF21-4412-828E-260A8728E7F1} = "20"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = "40000021"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = "1"

HKEY_CURRENT_USER\Software\ts\
system
dontdisplaylastusername = "0"

HKEY_CURRENT_USER\Software\ts\
system
legalnoticecaption = ""

HKEY_CURRENT_USER\Software\ts\
system
legalnoticetext = ""

HKEY_CURRENT_USER\Software\ts\
system
shutdownwithoutlogon = "1"

HKEY_CURRENT_USER\Software\ts\
system
undockwithoutlogon = "1"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Capture screen, audio, and webcam
• Download files
• Get drive information
• Get system information
• List active ports
• Lock workstation
• Log keystrokes
• Log off user
• Monitor browsing habits
• Manage files and folders
• Manage open windows
• Manage passwords
• Manage registry, processes, services, devices, and installed applications
• Perform multiple simultaneous transfers
• Perform remote shell
• Relay server
• Restart/Reboot system
• Share servers
• Update, restart, terminates itself

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• https://{BLOCKED}in.{BLOCKED}p.net

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• Computer name
• Drive information
• Operating system information
• Processor speed
• RAM Information
• Saved email password
• Saved email address
• Service pack information
• System settings
• User name and cached password