• Email
• Facebook
• Twitter
• Google+
• Linkedin

BKDR_CARETO.A

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

「Careto」と呼ばれる攻撃に関連したWindows用マルウェアの1つで、自身の環境設定ファイルをエンコードし、自身のネットワークトラフィックを暗号化することで解析を困難にするマルウェアとして知られています。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、システム情報を収集します。

マルウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\awcodc32.dll - detected as BKDR_CARETO.A
• %System%\awdcxc32.dll - detected as BKDR_CARETO.A
• %System%\drivers\scsimap.sys - detected as BKDR_CARETO.A
• %System%\jpeg1x32.dll - detected as BKDR_CARETO.A
• %System%\mfcn30.dll - detected as BKDR_CARETO.A
• %System%\vchw9x.dll - detected as BKDR_CARETO.A
• %User Temp%\___{random number}.tmp - detected as BKDR_CARETO.A

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の無害なファイルを作成します。

• %System%\bootfont.bin

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 36A900E5-0AE5-4ca6-84B4-45A05B42E705}_262144_124160

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\CurrentControlSet\Services\
scsimap
ImagePath = "%System%\DRIVERS\scsimap.sys"

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\CurrentControlSet\Services\
scsimap

バックドア活動

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• http://www.{BLOCKED}nt.com/server/ssl.htm
• https://{BLOCKED}t.{BLOCKED}et.nu/cgi-bin/index.cgi
• https://{BLOCKED}.{BLOCKED}.233.15/cgi-bin/index.cgi

ただし、情報公開日現在、このサーバには接続できません。

情報漏えい

マルウェアは、システム情報を収集します。

その他

マルウェアは、実行後、自身を削除します。

マルウェアが作成する以下のファイルは、「BKDR_CARETO.A」として検出されます。

• %System%\awcodc32.dll
• %System%\awdcxc32.dll
• %System%\drivers\scsimap.sys
• %System%\jpeg1x32.dll
• %System%\mfcn30.dll
• %System%\vchw9x.dll
• %User Temp%\___{random number}.tmp

マルウェアは、以下の不正なコンポーネントを含んでいます。

• %System%\awcodc32.dll
• %System%\awdcxc32.dll
• %System%\drivers\scsimap.sys
• %System%\jpeg1x32.dll
• %System%\mfcn30.dll
• %System%\vchw9x.dll
• %User Temp%\___{random number}.tmp

ファイル"awdcxc32.dll"は、改変された"scsimap.sys"と通信し、"vchw9x.dll"に読み込まれます。

ファイル"scsimap.sys"は、マルウェアのコンポーネントを読み込みます。

ファイル"jpeg1x32.dll"は、マルウェアをアンインストールします。

ファイル"mfcn30.dll"は、マルウェアが自身のコピーの更新版をダウンロードする場所の情報を含んでいます。

ファイル"awcodc32.dll"および"vchw9x.dll"は、コマンド＆コントロール（C&C）サーバとの通信に利用されます。

ファイル"___{random number}.tmp"は、自身を実行した「BKDR_CARETO.A」のメインとなるコンポーネントを削除します。

マルウェアは、以下のパイプを利用します。

• \\.\pipe\{807BF02B-3F5F-4570-970A-8AADBAA55AC1}

以下は、コードセクションから復号されています。

• "36A900E5-0AE5-4ca6-84B4-45A05B42E705}_262144_124160"

マルウェアは、C&Cサーバとの通信のため"Caguen1aMar"を暗号化キーとして利用します。

マルウェアは、以下のURLのクエリパラメータを利用します。

• Data
• Exec
• Ack
• Cmd
• Raw
• Id
• Inst

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください