・BackDoor-FKEはExploit-CVE2012-4792によってドロップ(作成)されるトロイの木馬です。
・Exploit-CVE2012-4792は、解放後使用による実行の脆弱性を利用してリモートサーバから悪質なペイロードをダウンロードし、ターゲットコンピュータに侵入する悪質なHTMLファイルです。この脆弱性により、クラッシュが発生し、攻撃者が影響を受けるシステムを制御できるようになる可能性があります。ダウンロードされる実行ファイルは、マカフィーが「BackDoor-FKE」という名前で検出するBackDoorの亜種です。
・作成されたHTMLファイルは「Exploit-CVE2012-4792」、Internet Explorerのヒープスプレーに使われるSWFファイルは「SWF/Exploit-Shellcode」という名前で検出されます。
・BackDoor-FKEは、さらに悪質なファイルをダウンロードして実行するなど、命令を受け取って実行するため、リモートサーバへのバックドアを開きます。また、システムのAdmin$共有にアクセスしようとします。
・実行時、以下のIPアドレスに接続しようとします。
- www.w1nd[削除]pdate.com
- provide.yo[削除]rap.com
- [削除].0
- autom[削除]on.whatismyip.com
- www.g[削除]lio.com
- www.ya[削除]oo.net:NBNS
- 108.162. [削除].59/n09230945.asp
- hxxp://web.v[削除]clod.com/photo/zpnsrrtdorrwrze.jpg
- hxxp://web.v[削除]eclod.com/viewphoto.asp?photoid=zpnsrrtdorrwrze
- 40.30. [削除].192
- web.v[削除]reclod.com
- hxxp://23.19. [削除].15/photo/zpnsrrtdorrwrze.jpg
- hxxp://23.19. [削除].15/viewphoto.asp?photoid=zpnsrrtdorrwrze
タイプ: 1
・以下のファイルがBackDoor-FKEによってドロップされます。
- %WINDIR%\Media\Windows Config.wav
- %temp%\SHIAPE.EXE
- %WINDIR%\system32\zbrscvgdydnnivjk.zbr
・以下のレジストリキーがシステムに追加されます。
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{B28E0E78-882D-403c-AF4E-BDEC9C8FA37B}
- HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NWSAPAGENT
- HKLM\SYSTEM\CurrentControlSet\Services\Nwsapagent
・以下のレジストリキー値がシステムに追加されます。
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NWSAPAGENT\0000\Control\
- *NewlyCreated*: 0x00000000
- ActiveService: "Nwsapagent"
- Service: "Nwsapagent"
- Legacy: 0x00000001
- ConfigFlags: 0x00000000
- Class: "LegacyDriver"
- ClassGUID: "{GUID}"
- DeviceDesc: "Internet Router Service"
・上記のレジストリキー値により、BackDoor-FKEが「Nwsapagent」という名前のサービスを作成し、Start TypeをAutomaticに設定するようにします。
タイプ: 2
・以下のファイルがBackDoor-FKEによってドロップされます。
- %ProgramFiles%\Common Files\DirectDB.exe
・以下のレジストリキーがシステムに追加されます。
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}
HKLM\SOFTWARE\STS
・以下のレジストリキー値がシステムに追加されます。
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{785942B1-FDE7-447F-A9C2-694A721FA120}\stubpath: "%ProgramFiles%\Common Files\DirectDB.exe s"
・上記により、自身をインストールし、システムが起動するたびに動作するようにします。
HKLM\SOFTWARE\STS\nck: 4F 18 F7 50 19 D6 65 A2 7A C0 D7 A9 E3 87 77 65
タイプ: 3
・以下はBackDoor-FKEによってドロップされるファイルです。
- %AllUsersProfile%\Application Data\thumbs.db
- %temp%\SHIAPE.EXE
- %AllUsersProfile%\Start Menu\Programs\Startup\ReadMe.lnk
・上記のレジストリ項目により、BackDoor-FKEが乗っ取ったシステムに登録され、再起動のたびに実行されるようにします。
・以下のコマンドを使って上記のファイルを実行します。
- rundll32 "%AllUsersProfile%\Application Data\thumbs.db",,CryptServiceMain
タイプ: 4
・以下の場所に以下のファイルをドロップします。
- %WINDIR%\system32\AppleService.exe
- %ALLUSERSPROFILE%\MicroMediaCCP\MicroPlayerUpdate.exe
・以下のコマンドを実行しようとします。
- cmd.exe /c rundll32 "%s"
- net start "%s"
- /c ping 127.0.0.1 & del /q "%s"
・上記のコマンドにより、BackDoor-FKEがドロップしたファイルを実行し、ソースファイルを削除するようにします。
・以下はシステムに追加されるレジストリキーです。
HKLM\SOFTWARE\Microsoft\ESENT\Process\AppleService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPLESERVICE
HKLM\SYSTEM\CurrentControlSet\Services\AppleService
・以下はシステムに追加されるレジストリキー値です。
SOFTWARE\Microsoft\Windows\CurrentVersion\Run%ALLUSERSPROFILE%\MicroMediaCCP\MicroPlayerUpdate.exe
・上記のレジストリ項目により、BackDoor-FKEが乗っ取ったシステムに登録され、再起動のたびに実行されるようにします。
HKLM\SOFTWARE\Microsoft\ESENT\Process\AppleService\DEBUG\Trace Level: ""
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPLESERVICE\0000\Control\
- *NewlyCreated*: 0x00000000
- ActiveService: "AppleService"
- Service: "AppleService"
- Legacy: 0x00000001
- ConfigFlags: 0x00000000
- Class: "LegacyDriver"
- ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
- DeviceDesc: "AppleService"
・上記のレジストリキー値により、BackDoor-FKEが「AppleService」という名前のサービスを作成し、Start TypeをAutomaticに設定するようにします。
HKey_Users\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000
HKey_Users \S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000
・上記のレジストリキー値により、BackDoor-FKEがプロキシ設定を無効にするようにします。
