Trojan.Win32.REMUTIL.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\Remote Utilities Agent\Logs\rut_log_{YYYY}-{MM}.html → logs of connections
• %User Temp%\restart_{GUID}.cmd → if the parameter 'restart' is present

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• {Malware Path}\javchedsvr.exe /tray /user

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Remote Utilities Agent
• %Application Data%\Remote Utilities Agent\Logs

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\RMSServerGlobal
• Global\RMSServerConfig
• Global\RMSGlobalHost
• Global\RMSServerGlobalStarter
• madExceptSettingsMtx{random characters}

他のシステム変更

マルウェアは、以下のフォルダを削除します。

• %User Temp%\{Malware filename w/o .exe}.madExcept

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\straightforward sandbox\
Host\Parameters
FUSClientPath = {Malware Path}\javchedsvr.exe

FUSClientPath = {Malware Path}\javchedsvr.exe HKEY_CURRENT_USER\Software\
straightforward sandbox\Host\Parameters
General = {hex values}

HKEY_CURRENT_USER\Software\straightforward sandbox\
Host\Parameters
InternetId = {hex values}

HKEY_CURRENT_USER\Software\straightforward sandbox\
Host\Parameters
Security = {hex values}

HKEY_CURRENT_USER\Software\straightforward sandbox\
Host\Parameters
Certificates = {hex values}

HKEY_CURRENT_USER\Software\straightforward sandbox\
Host\Parameters
CalendarRecordSettings = {hex values}

バックドア活動

マルウェアは、以下のポートを開き、リモートコマンドを待機します。

• 5650

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.61.146:5655
• {BLOCKED}.{BLOCKED}.14.178:5655
• {BLOCKED}.{BLOCKED}.232.18:5655

その他

マルウェアは、以下を実行します。

• リモートユーザーからの以下のコマンドを実行します。
  • リモート接続／制御
  • リモート印刷
  • プログラムのインストール
  • 画面録画
  • 録音
  • リモートターミナル
  • ビデオ、音声、テキストによるチャット
  • ファイルの実行
  • ファイルの管理（移動、コピー、削除、送信、受信）
  • 電源制御（シャットダウン、再起動、ログオフ、ロック、ハイバネート）
  • タスクマネージャーで開いているプロセスを見る
  • regeditでレジストリを見る/編集する
• マルウェアが意図した不正活動を実行するためには、以下のファイルが必要です。
  • javchedsvr.exe
  • libeay32.dll
  • ssleay32.dll
• 以下のパラメータを受け付けます。
  • services → javschedsvrというサービスをスタートする
  • restart →ファイルを作成し自身を再起動する
  • run_agent →不正な活動に進むために必要
  • second → 不正な活動に進むために必要
• パラメータ 'restart' が存在する場合、以下のプロセスを追加します。
  • chcp 1252
  {マルウェアのフルパス} -stop
  • ping localhost -n 5
  • taskkill /IM {マルウェアのファイル名} /F /T
  • ping localhost -n 5
  • start ""{マルウェアのフルパス} -start
  • del /Q %User Temp%\\restart_{GUID}.cmd

＜補足＞
インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\Remote Utilities Agent\Logs\rut_log_{YYYY}-{MM}.html → 接続の記録
• %User Temp%\restart_{GUID}.cmd → パラメータ 'restart' が存在する場合

マルウェアは、以下のプロセスを追加します。

• {マルウェアのパス}\javchedsvr.exe /tray /user

他のシステム変更

マルウェアは、以下のフォルダを削除します。

• %User Temp%\{マルウェアのファイル名から.exeを除いたもの}.madExcept