BKDR_MEVADE.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、匿名通信システム「Tor」へ接続するユーザ数が増加しているという報告事例に関連しています。マルウェアは、コマンドを実行し、感染コンピュータにアドウェアをダウンロードする機能を備えています。解析より、Tor マルウェアは、コマンド&コントロール（C&C）サーバを隠ぺいするために利用される可能性があることが考えられます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\TrustedInstaller.exe
• %System%\uti.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下の無害なファイルを作成します。

• %System%\~stg

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
Start = "02"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
ImagePath = "C:\WINDOWS\system32\TrustedInstaller.exe" /svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
DisplayName = "Trusted Installer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer
Description = "Adds, modifies, and removes applications provided as a Windows Installer (*.msi) package. If this service is disabled, any services that explicitly depend on it will fail to start."

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Trusted Installer

この「スケジュールされたタスク」により、以下の時間になるとマルウェアが実行されます。

• %Windows%\Tasks\TrustedInstaller Update.job - executes the malware daily every one hour
• %Windows%\Tasks\TrustedInstaller Update 2.job - executes the malware at system startup

(註：%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware filename}.exe = "{malware path}\{malware filename}.exe:*:Enabled:{malware filename}.exe(in)"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\TrustedInstaller.exe = "%System%\TrustedInstaller.exe:*:Enabled:TrustedInstaller.exe(in)"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Perform remote connection to a certain location supplied by the remote user using SSH
• Update copy of itself

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}statistic.net\er
• http://{BLOCKED}ystatistic.com\er
• http://{BLOCKED}atistic.com\er
• http://{BLOCKED}-update.net\er
• http://{BLOCKED}ice.net\er
• http://{BLOCKED}-stat.com\er
• http://{BLOCKED}statistic.net\br
• http://{BLOCKED}ystatistic.com\br
• http://{BLOCKED}atistic.com\br
• http://{BLOCKED}-update.net\br
• http://{BLOCKED}ice.net\br
• http://{BLOCKED}-stat.com\br

その他

マルウェアは、仮想マシン上での実行に対抗する機能を含んでいます。マルウェアは、以下に関連するプロセスの有無を確認します。

• VirtualBox
• VMWare

またマルウェアは、サンドボックスに対抗する機能を含んでいます。マルウェアは、以下のサンドボックス上で実行していることを確認すると、自身の実行を継続しません。

• Sandboxie

マルウェアは、自身を実行するため、以下のパラメータを問い合わせます。

• /svc
• /w
• /i
• /r

マルウェアは、コンピュータに関する以下の情報を収集し、収集した情報を不正リモートユーザへと送信します。

• UUID
• オペレーティングシステム（OS）
• インストールされているセキュリティ対策製品
• インストールされているファイアウォール製品

以下の「スケジュールされたタスク」により、毎日毎時間、マルウェアが実行されます。

• %Windows%\Tasks\TrustedInstaller Update.job

以下の「スケジュールされたタスク」により、コンピュータが起動する度に、マルウェアが実行されます。

• %Windows%\Tasks\TrustedInstaller Update 2.job

マルウェアが実行するコマンドは、以下のとおりです。

• 暗号通信する「Secure Shell（SSH）」を利用し、不正リモートユーザによって指定される特定の場所に遠隔で接続する
• 自身のコピーの更新