解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows, Windows 64-bit

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

「REGIN」は、高性能のマルウェアであり、知名度の高い企業を対象に利用されています。「REGIN」は、高度で多様な回避手法を利用します。複数の感染経路や複数のモジュールを利用して検出を回避し、情報を収集します。

  詳細

ファイルサイズ 不定
タイプ SYS, DLL
メモリ常駐 はい
発見日 2014年11月24日
ペイロード システムセキュリティへの感染活動, 情報収集

「REGIN」として知らされるマルウェアのファミリの不正なファイルのトレンドマイクロ製品での検出名です。「REGIN」は、複数のコンポーネントで構成されているマルウェアで、自身の不正な機能およびペイロードのためにさまざまなファイルを利用します。

インストール

最初に読み込まれるファイルは、不正活動を初期化します。このファイルは、通常"System32"フォルダで確認され、以下のファイル名のいずれを利用する可能性があります。

  • abiosdsk.sys
  • adpu160.sys
  • atdisk.sys
  • cdaudio.sys
  • floppy.sys
  • ndisips.sys
  • parclass.sys
  • pciclass.sys
  • pcidump.sys
  • pciport.sys
  • rasprt.sys
  • rdpmdd.sys
  • Ser8UART.sys
  • serial.sys
  • usbclass.sys

このマルウェアは、インストールをするために通常のファイルシステムを利用して保存するのではなく、NTFS拡張属性またはレジストリの「バイナリ・ラージ・オブジェクト(BLOB)」にコンポーネントを保存します。

  • 拡張属性
    • %Windows%
    • %Windows%\fonts
    • %Windows%\cursors
    • %Windows%\system32
    • %Windows%\system32\drivers

    ("%Windows%"はWindowsのフォルダであり,通常は"C:\Window")

  • レジストリのサブキー
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{39399744-44FC-AD65-474B-E4DDF-8C7FB97}
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{3F90B1B4-58E2-251E-6FFE-4D38C5631A04}
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase

マルウェアは、以下をファイルを作成し、感染したコンピュータを識別します。

  • %System%\nsreg1.dat
  • %System%\bssec3.dat
  • %System%\msrdc64.dat

("%System%"は、Windowsのシステムフォルダであり,Windowsのオペレーティング システム (OS)のすべてのバージョンでは通常"C:\Windows\System32"です。)

ペイロード

このマルウェアは、仮想ファイルシステムとして知られる暗号化されたファイルストレージに自身のペイロードを保存します。ペイロードは、以下のファイルおよびディレクトリに保存される可能性があります。

  • %System%\config\SystemAudit.Evt
  • %System%\config\SecurityAudit.Evt
  • %System%\config\SystemLog.evt
  • %System%\config\ApplicationLog.evt
  • %Windows%\ime\imesc5\dicts\pintlgbs.imd
  • %Windows%\ime\imesc5\dicts\pintlgbp.imd

("%System%"は、Windowsのシステムフォルダであり、WindowsのOSのすべてのバージョンでは通常"C:\Windows\System32"です。"%Windows%"は、Windowsのフォルダであり、通常"C:\Window"です。)

機能と情報集

このマルウェアのグループは、以下の機能を備えています。

  • ルートキット
  • ネットワークポートブロッカ
  • ネットワークキャプチャ
  • 認証情報収集
  • C&C通信
  • 暗号化機能
  • コンピュータ情報の収集
  • 画面操作(スクリーンショット,キー入力操作情報,クリック機能)
  • ファイルシステム操作(作成/読み込み/書き込み/削除)
  • プロセスおよびモジュール操作
  • IISを利用したWebサーバのログの窃取
  • GSMのアクティビティの記録

マルウェアは、以下のコマンド&コントロール(C&C)サーバに接続し、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.114.73
  • {BLOCKED}.{BLOCKED}.144.113
  • {BLOCKED}.{BLOCKED}.89.80
  • {BLOCKED}.{BLOCKED}.237.145

  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_REGIN.A」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください