TROJ_SHADOW.AF

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このマルウェアは、産業用施設を標的とする「Stuxnet（スタクスネット）」の次なるマルウェアといわれる「DUQU」に関連しており、このマルウェアのコードはスタクスネットと類似しています。

マルウェアは、特定のパラメータを利用することにより実行されます。マルウェアは、特定のプロセスが実行されているかを確認します。マルウェアが確認するプロセスは、すべてセキュリティソフトに関連しています。これらのプロセスを確認した場合、マルウェアは、確認したプロセスにマルウェアのコードのパッチを適用します。これらのプロセスが確認されなかった場合、マルウェアは、プロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

マルウェアは、特定のAPIをフックし、システム情報を収集します。

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

その他

マルウェアは、以下のいずれかのパラメータを利用することで実行されます。

• xxx = 感染コンピュータの情報収集
• xxx /v = バーボーズモード（処理内容の詳細を表示）
• xxx /restart = 収集した情報の内容の削除
• xxx /quit = 追加したプロセスの終了
• xxx /delme = マルウェアの削除
• xxx /in ＜ファイル名＞ = 情報収集に利用される＜ファイル名＞からデータの読み込み
• xxx /out ＜ファイル名＞ = 既定の "%User Temp%\~DQxxx.tmp" の代わりに、＜ファイル名＞に収集した情報の書き込み

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、セキュリティソフトに関連する以下のプロセスが、実行されているかを確認します。

• 360rp.exe
• 360sd.exe
• avp.exe
• Mcshield.exe
• avguard.exe
• bdagent.exe
• UmxCfg.exe
• fsdfwd.exe
• rtvscan.exe
• ccSvcHst.exe
• ekrn.exe
• tmproxy.exe
• RavMonD.exe

上記のプロセスが確認されなかった場合、マルウェアは、以下のプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

• lsass.exe

一方、上記のプロセスのいずれかを確認した場合、マルウェアは、確認したものと同じプロセス名を用いて新たなプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを適用します。

また、上述のプロセス名と一致するプロセスを見つけたものの、このプロセスのパス名を確認できない場合、マルウェアは、以下のプロセスを用いて自身のコードを組み込みます。

• winglogon.exe
• svchost.exe

マルウェアは、以下のAPIをフックし、コンポーネント "sortxxx.nls" を読み込みます。

• ZwMapViewOfSection
• ZwCreateSection
• ZwOpenFile
• ZwClose
• ZwQueryAttributesFile
• ZwQuerySection

メモリに読み込まれると、マルウェアは、コンピュータの以下の情報を収集します。そして、マルウェアは、パラメータ「/out」で指定されない限り、既定では "%User Temp%\~DQ＜ランダム＞.tmp" に収集した情報を保存します。

• ドライブ情報（空き容量およびドライブのデバイス名）
• スクリーンショット
• 実行中のプロセスおよび親プロセス
• リムーバブルドライブのシリアル番号
• ウィンドウ名
• 開いているファイルおよびローカルコンピュータ上の情報