REMOSH

「REMOSH」は、2011年の「Night Dragon攻撃」の関連として知られています。マルウェアは、エネルギー関連会社のネットワークを対象にしています。

マルウェアは、バックドアおよびハッキングツールを組み合わせたものです。ハッキングツールとしての機能は、「バックドア型マルウェア・ツールキット」としての機能、そしてもう1つは、「コマンド＆コントロール（C&C）のインターフェイス」としての機能です。マルウェアは、感染コンピュータ内で実行中のプロセスおよびサービスを列挙します。また、マルウェアは、以下の機能も備えています。

• スクリーンショットの取得

• ファイルの作成および削除

• ファイルの列挙

• セッションを列挙し、ログインしているユーザの確認

• プロセスの実行

• ドライブの種類、情報、空き領域、および名称の取得

• リモートシェルコマンドの実行

• ファイルの送受信

• 自身のアンインストール

マルウェアは、コンピュータ名およびオペレーティングシステム（OS）およびプロセッサ情報といったシステム情報も収集します。収集された情報は、C&Cサーバに送信されます。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\Connect.dll
• %System%\Startup.dll
• {malware path}\HostID.DAT
• {malware path}\Server.exe
• {malware path}\Server.dll
• {remote user specified path}\{remote user specified file name}.dll

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{Random Service Name}\Parameters
ServiceDLL = "%System%\{malware file name}"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\RAT
install = "%System%"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CryptHost
ImagePath = "%System Root%\System32\svchost.exe -k CryptHost "

HKEY_LOCAL_MACHINE\SOFTWARE\RAT
connect1 = "shell.{BLOCKED}f.com"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CryptHost\Parameters
ServiceDll = "%System%\Startup.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
CryptHost = "CryptHost"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PolicyAgent
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.82.50
• {BLOCKED}.{BLOCKED}.82.25
• shell.{BLOCKED}f.com
• shell.{BLOCKED}-the.net