TROJ_DUQU.DEC

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このマルウェアは、産業用施設を標的とする「Stuxnet（スタクスネット）」の新種マルウェア「DUQU」に関連します。マルウェアは、スタクスネットと類似するコードを使用しています。

マルウェアは、「RTKT_DUQU.SME」が「TROJ_DUQU.ENC」を復号することによって生成され、読み込まれます。マルウェアは、セキュリティソフトに関連する特定のプロセスが、実行されているかを確認します。これらのプロセスが確認されなかた場合、マルウェアは、「lsass.exe」のプロセスを追加し、この追加したプロセスにマルウェアのコードのパッチを適用します。

一方、これらのプロセスのいずれかが確認された場合、確認されたプロセスと同じ名称を用いて新規のプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

また、マルウェアは、プロセス名が適合した場合およびマルウェアが、ファイルのパスを判別できない場合でも、特定のプロセスを利用し、マルウェアのコードを組み込みます。マルウェアは、特定のAPIをフックし、メモリ上でコンポーネント "sortxxx.nls" を読み込みます。マルウェアは、特定のIPアドレスにアクセスし、コマンド＆コントロール（C&C）サーバへ接続します。これにより、不正リモートユーザが、感染コンピュータ上で任意のコマンドの実行が可能になります。この任意のコマンドには、他のマルウェアや不正なファイルのダウンロードも含まれます。

マルウェアは、環境設定に関する情報を得るために特定のファイルを読み込みます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、「RTKT_DUQU.SME」が「TROJ_DUQU.ENC」を復号することによって生成され、読み込まれます。

マルウェアは、セキュリティソフトに関連する以下のプロセスが、実行されているかを確認します。

• 360rp.exe
• 360sd.exe
• avguard.exe
• avp.exe
• bdagent.exe
• ccSvcHst.exe
• ekrn.exe
• fsdfwd.exe
• Mcshield.exe
• RavMonD.exe
• rtvscan.exe
• tmproxy.exe
• UmxCfg.exe

マルウェアは、上記のプロセスが確認されなかった場合、以下のプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

• lsass.exe

一方、マルウェアは、上記のプロセスのいずれかを確認した場合、同様のファイルの新たなプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

また、マルウェアは、プロセス名が適合した場合およびマルウェアが、ファイルのパスを判別できない場合でも、以下のプロセスを利用し、マルウェアのコードを組み込みます。

• explorer.exe
• iexplore.exe
• svchost.exe
• winlogon.exe

マルウェアは、以下のAPIをフックし、メモリ上でコンポーネント "sortxxx.nls" を読み込みます。

• ZwClose
• ZwCreateSection
• ZwMapViewOfSection
• ZwOpenFile
• ZwQueryAttributesFile
• ZwQuerySection

マルウェアは、以下のIPアドレスにアクセスし、C&Cサーバへ接続します。

• {BLOCKED}3.111.97

これにより、不正リモートユーザが、感染コンピュータ上で任意のコマンドの実行が可能になります。この任意のコマンドには、他のマルウェアや不正なファイルのダウンロードも含まれます。

マルウェアは、環境設定に関する情報を得るために以下のファイルを読み込みます。

• %System Root%\inf\cmi4464.pnf - 「TROJ_DUQU.CFG」として検出
• %System Root%\inf\netp192.pnf - 「TROJ_DUQU.CFG」として検出