BKDR_PUSHDO.AWA
Backdoor.Win32.Pushdo (Ikarus), TrojanDownloader:Win32/Cutwail (Microsoft)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、また、スパム活動の過程で、メッセージを作成します。 マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\cofugpobomxy.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- goqcgc85589
- cofugpobomxy
マルウェアは、以下の通常のプロセスにスレッドを組み込みます。
- svchost.exe
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
cofugpobomxy = "%User Profile%\cofugpobomxy.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{random values}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
cofugpobomxyzap = "{random values}"
感染活動
マルウェアは、以下のいずれかのSMTPサーバを使用します。
- smtp.compuserve.com
- mail.airmail.net
- smtp.directcon.net
- smtp.sbcglobal.yahoo.com
- smtp.mail.yahoo.com
- smtp.live.com
バックドア活動
マルウェアは、メールを作成し、自身のスパム活動に利用します。
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download and execute files
- Get OS Version
- Get System Information
- Get Network Information
- Retrieve Spam Configuration/Content
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}1.{BLOCKED}p.messagingengine.com
その他
マルウェアが実行するコマンドは、以下のとおりです。
- ファイルのダウンロードおよび実行
- OSのバージョンの取得
- システム情報の取得
- ネットワーク情報の取得
- スパムの設定/内容の取得
マルウェアは、以下のURLへランダムなGETリクエストのアクセスを実行し、外部接続を隠ぺいします。
- 4pipp.com
- accel.lt
- aciuba.com.br
- acsmedioambiente.com
- adultlivechat.us
- aethora.com
- agrarno.ru
- aipi.co.nz
- al-mawared.com
- appelfarm.org
- arckepesajandek.hu
- area72aa.org
- <省略>j.co.jp
- atr-technologies.com
- avant-ime.com
- avisay.com
- beechwoodmetalworks.com
- berkshirebusiness.org
- bethisraelcenter.org
- bigtopmultimedia.com
- biurimex.pl
- bocr.cz
- brijindia.com
- business-edge.com
- <省略>u.com
- capitalcitytuxedo.com
- cgc-england.com
- childscope.com
- chocolatecovers.com
- choice-select.com
- coe.pku.edu.cn
- coketh.com
- colourprint.nl
- courtney.ca
- csmbc.org
- d-j-b.net
- d4drmedia.com
- dbcomponents.com
- debtrescueusa.com
- denville.ca
- dithd.com
- djkentaro.com
- dormfantasies.com
- e-storming.com
- easyformations.net
- egao.net
- enzoyrodrigo.com.br
- eomc.net
- eurasia.it
- ezmedi.com
- fastarchofamerica.com
- figabara.com
- fleshercorp.com
- floridadoubled.com
- fruitspot.co.za
- gablemarine.com
- gcs-cpa.com
- genmar.gen.tr
- ginalimo.com
- glmghotels.com
- graceweb.net
- graintrain.coop
- guberman.com.br
- hartmultimedia.com
- hifuken.com
- hinnenwiese.de
- hostphd.com.br
- hoyuu.com
- hpp-services.com
- iaiglobal.or.id
- ibcd.com.br
- icigrain.com
- ixtractor.com
- jeangatz.com
- jeansmate.co.jp
- justconnect.co.za
- kamaruka.vic.edu.au
- korta-sa.com
- krafthaus.com
- kurecci.or.jp
- kvadratoff.ru
- le-mariage.com
- leadershipforum.us
- lexjuridica.com
- link-list-uk.com
- malagacorp.com
- mandi-man.com
- mastergrp-spb.ru
- mattiussiecologia.com
- merceorti.com
- meridies.org
- meubles-jacquelin.com
- miltinio-teatras.lt
- minatech.net
- msasys.com
- nanfangcw.com
- nasz-sklep.pl
- nd-evenementiel.com
- neurotoxininstitute.com
- nichedictionary.com
- ompgp.co.jp
- osouji-school.com
- paintball.be
- paulrenna.com
- <省略>sion.co.in
- phototype.com
- pixemia.com
- re-wakefield.co.uk
- realtechre.com
- rovoneli.com
- rueggeberg.com
- saios.net
- <省略>or.pl
- servico-ind.com
- shs-sales.co.uk
- sigmametalsinc.com
- solutioncorp.com
- sortedorganizing.com
- spiti.org
- stecom.nl
- steelpennygames.com
- stepnet.de
- stormwildlifeart.com
- sullyfrance.com
- sun-ele.co.jp
- szostka.com
- taykon.com
- thedonaldsongroup.com
- theprintinghouseltd.co.uk
- tollefsondesign.com
- <省略>meuse.com
- trenpalau.com
- trinity-works.com
- tss.org
- tutuji-saitama.com
- unitedearthgroup.com
- unslp.edu.bo
- vbwgz.com
- victoria.com.pl
- violadagamba.com
- westhillsstl.org
- wildrosemarketing.com
- wkhk.net
- www.traderush.com
- xuanxiao.com
- yamamoto-sr.com
マルウェアは、以下のURLへランダムなPOSTリクエストのアクセスを実行し、外部接続を隠ぺいします。
- acicinvestor.ca
- acmepacificrepairs.com
- actfactory.net
- agence-des-druides.com
- altonhousehotel.com
- ans-service.com
- areafor.com
- arquiteturadigital.com
- asterisk.com.sg
- audio-direkt.net
- austriansurfing.at
- authentica-travel.com
- bapasitaramsevatrust.org
- bigjohnsbeefjerky.com
- bredainternet.nl
- brookfarm.com.au
- cabooseonline.com
- cath4choice.org
- cbsprinting.com.au
- celebikalip.com.tr
- christybarry.com
- chscreative.com
- churchsupplies.net
- cksglobal.net
- combine.or.id
- coopsupermarkt.nl
- ctr4process.org
- doctsf.com
- eleterno.com
- empordalia.com
- espace-hotelier.com
- etcycles.com
- eyggroup.com
- fabianonline.de
- fraser-high.school.nz
- frederickallergy.com
- freepatentauction.com
- gamblingonlinemagazine.com
- geodecisions.com
- geothermusa.com
- gjk.com.pl
- golfpark-moossee.ch
- goodvaluecenter.com
- impex.com.pl
- isle-karnataka.org
- isp-h.com
- istanbultarim.com.tr
- kafrit.com
- konishi-hp.com
- macgregor.co.kr
- mail57.us2.mcsv.net
- manuyantralaya.com
- mastechn.com
- mojacar-vacaciones.com
- momonophoto.com
- myfilecenter.com
- <省略>urus.com
- nataliecurtiss.com
- nazcapictures.com
- norakuroya.com
- nori-k.com
- nuritech.com
- optiver.com.au
- pbna.com
- pcpeds.com
- perc.ca
- photoclubs.com
- racknstackwarehouse.com.au
- rewardhits.com
- rodeoshow.com.au
- ryumachi-jp.com
- safetyconnection.ca
- sarahdavid.com
- sarpy.com
- schiedel.it
- screaminpeach.com
- sdlp.ie
- shakeyspizza.ph
- shbrazil.com
- sspackaginggroup.com
- structives.org
- sztartufi.com
- tavdi.com
- teasing-video.com
- telenavis.com
- tessera.co.jp
- theartofhair.com
- theautospas.com
- thesergery.com
- timeturkey.com
- toddpipe.com
- topex.ro
- totalearthcare.com.au
- upsilon89.com
- urantiaproject.com
- urayasu.net
- vanguardpkg.com
- woodlandhillwinery.com
- wsipowerontheweb.com
- www.traderush.com
- x-cellcommunications.de
- xing-group.com
- ziuabarbatului.ro
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- AppManagement = "{random values}"
- AppManagement = "{random values}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- cofugpobomxyzap = "{random values}"
- cofugpobomxyzap = "{random values}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- cofugpobomxy= "%User Profile%\cofugpobomxy.exe"
- cofugpobomxy= "%User Profile%\cofugpobomxy.exe"
手順 4
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_PUSHDO.AWA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください