BKDR_VAWTRAK.DOKR

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、不正なマクロコードを介して、感染コンピュータに読み込まれます。マルウェアのバックドア機能により、マルウェアに感染したユーザは、コンピュータの改ざんのセキュリティ侵害に見舞われる可能性があります。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %All Users Profile%\Application Data\{random 1}\{random 2}.{random 3 characters}

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 1} = "regsvr32.exe "%All Users Profile%\Application Data\{random 1}\{random 2}.{random 3 characters}""

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
DefaultLevel = "262144"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
TransparentEnabled = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
PolicyScope = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = "0"

HKEY_CURRENT_USER\Software\{CLSID 1}
{random value 1} = "{hex values}"

HKEY_CURRENT_USER\Software\{CLSID 1}
{random value 2} = "{hex values}"

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Log keystrokes
• Capture Screenshots
• Open a process
• Install Updates
• List Process
• Inject code to process
• Download and execute files
• Download configuration
• Start/Stop Video
• Start VNC

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}refret.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}isubu.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}enotoft.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}lt.com/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}i.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}e.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}hendo.ru/stats/00/counter/{hex}/{hex}
• http://{BLOCKED}goff.com/stats/00/counter/{hex}/{hex}

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

情報漏えい

マルウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• 3D-FTP
• AceFTP
• BitKinex
• BlazeFtp
• BulletProof FTP
• ClassicFTP
• CoffeeCup Software
• Cyberduck
• DeluxeFTP
• Directory Opus
• EasyFTP
• ExpanDrive
• FarManager
• FastStone Browser
• FFFTP
• FileZilla
• FlashFXP
• Fling FTP
• FreshFTP
• FTP Commander
• FTP Explorer
• FTP Navigator
• FTPGetter
• FTPNow
• FTPRush
• FTPShell
• FTPVoyager
• FTPWare
• FTP++
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP
• GlobalSCAPE CuteFTP 8 Professional
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP Lite
• GlobalSCAPE CuteFTP Pro
• Global Downloader
• GoFTP
• LeapFTP
• LeechFTP
• LinasFTP
• My FTP
• NetDrive
• NetSarang
• NexusFile
• NovaFTP
• PuTTY
• RhinoSoft
• Robo-FTP
• SecureFX
• SmartFTP
• SoftX FTP
• Staff-FTP
• Total Commander
• TurboFTP
• UltraFXP
• WebDrive FTP
• WinFTP
• WinSCP
• Windows Commander
• WiseFTP

マルウェアは、保存されている以下のEメール認証情報を収集します。

• IncrediMail
• Microsoft Outlook
• PocoMail
• BatMail
• Thunderbird
• Windows Live Mail
• Windows Mail

マルウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Epic
• Flock
• K-Meleon
• Mozilla Firefox
• SeaMonkey
• Chrome

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアが実行するコマンドは、以下のとおりです。

• キー入力情報の記録
• スクリーンショットの取得
• プロセスを開く
• 更新のインストール
• プロセスの列挙
• プロセスへのコードの挿入
• ファイルのダウンロードおよび実行
• 環境設定のダウンロード
• ビデオの開始／停止
• VNCの開始

マルウェアは、仮想ネットワークコンピューティング(VNC)サーバを設定する機能を備えており、改ざんしたコンピュータをコントロールします。マルウェアは、SDPYを無効にします。

マルウェアは、以下を除くすべての実行中プロセスへコードを挿入します。

• csrss.exe
• Dbgview.exe
• lsass.exe
• lsm.exe
• services.exe
• smss.exe
• svchost.exe
• taskhost.exe
• wininit.exe
• winlogon.exe

マルウェアは、以下のプロセスへマルウェアが挿入された場合のみ、自身の不正活動を実行します。

• chrome.exe
• explorer.exe
• firefox.exe
• iexplore.exe

マルウェアは、Program Filesフォルダおよび"%All Users Profile%\Application Data"内で、以下のセキュリティ関連フォルダの存在を確認します。

• a-squared Anti-Malware
• a-squared HiJackFree
• Agnitum
• Alwil Software
• AnVir Task Manager
• ArcaBit
• AVAST Software
• AVG
• avg8
• Avira
• Avira GmbH
• BitDefender
• BlockPost
• Common Files\Doctor Web
• Common Files\G DATA
• Common Files\P Tools
• Common Files\Symantec Shared
• DefenseWall
• DefenseWall HIPS
• Doctor Web
• DrWeb
• ESET
• f-secure
• FRISK Software
• G DATA
• K7 omputing
• Kaspersky Lab
• Kaspersky Lab Setup Files
• Lavasoft
• Malwarebyres' Anti-Malware
• Malwarebytes
• McAfee
• Microsoft Antimalware
• Microsoft Security Client
• Microsoft Security Essentials
• Norton AntiVirus
• Online Solutions
• P Tools
• P Tools Internet Security
• Panda Security
• Positive Technologies
• Sandboxie
• Security Task Manager
• Spyware Terminator
• Sunbelt Software
• Symantec
• Trend Micro
• UAenter
• Vns43
• Xore
• Zillyya Antivirus

マルウェアは、以下のキーにレジストリ値を追加し、制限された権限でアプリケーションを実行するようにします。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\CodeIdentifiers\Paths\{random generated GUID}
ItemData = "{blacklisted software path}"
SaferFlags = "0"

マルウェアは、以下のレジストリキーへアクセスし、インストールされているプログラムおよびそのアンインストールのパスのリストを取得します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DisplayName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UninstallString