中抜き
最近、ESET アンチウイルスは Win32/KanKan と呼ばれるマルウェアを検出しました。これには3つの重要な特徴があります。
1.それ自体はオフィスソフトの機能を持ちませんが、オフィスプラグインは、純粋にシステム内で長期間存続する目的でレジストリに登録されています。
2.感染したコンピュータに接続されたすべてのAndroid携帯電話には、複数のアプリがサイレントインストールされます。
詳細分析
マルウェアのシグネチャ情報は以下の通りです。
このマルウェアは、INPEnhSetup.exeというファイル名のWindowsインストーラです。 実行を開始すると、kkyouxi.stat.kankan.comに接続し、初期化メッセージを送信します。その後、INPEn.dll、INPEnhUD.exe、INPEnhSvc.exeの3つのファイルをリリースし、ライブラリINPEn.dllをメモリにロードしてDllRegisterServer関数を呼び出します。最後に、インストーラはkkyouxi.stat.kankan.comドメインにインストール完了メッセージを送信します。
INPEn.dll
INPEn.dllは、実行時にInputEnhanceと呼ばれるWord、Excel、PowerPoint用のアドインをインストールします。このプラグインを起動するたびにオフィスソフトが読み込まれるようにレジストリエントリを作成することで、隠蔽工作の目的を達成します。
このdllファイルは、conf.kklm.n0808.com/tools.iniファイルを読み込むために実行されます。
このファイルにはいくつかのパラメータが含まれています。ToolsとVIDはbase64でエンコードされています。
ツールはこれを次のように解読します。
taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe
どうやら、これらのツールが実行されているかどうかを検出し、検出を避けるためにdllファイルが存在する場合、それらを停止します。特筆すべきは、このリストにはアンチウイルスソフトは含まれておらず、解析ツールだけが含まれているということです。作者の意図は、ソフトが発見されるのを防ぐことにあるようです。
INPEnhUD.exe
ネットワーク接続が確立されると、INPEnhUD.exeが実行されます。 このファイルをアップデータと呼びます。最初にこのURLにアクセスします。
update.kklm.n0808.com/officeaddinupdate.xml。
officeaddinupdate.xmlは現在以下のようになっています。
このxmlファイルにはURLとmd5ハッシュのリストが含まれています。 INPEnhUD.exeは各URLのファイルをダウンロードし、md5と比較します。
現在、xmlにはUninstall.exeが1つしかないため、ソフトウェアはこのプログラムをダウンロードし、自分自身をアンインストールします。リスト内のすべてのプログラムをダウンロードした後、最終的に3番目のファイル、INPEnhSvc.exeを実行します。
INPEnhSvc.exe
INPEnhSvc.exeは、3つのファイル構造の中核です。7つのコマンドを含むXML設定ファイルを取得します。 7つのコマンドは以下の2つのグループに分けられます。
ローカルコマンド: scanreg, scandesktop, scanfavorites
外部委託コマンド: installpcapp, installphoneapp, setdesktopshortcut, addfavourites, setiestartpage
プログラム全体のアーキテクチャは、以下の図で表すことができます。
ここでは、最も興味深いコマンド "installphoneapp "を分析します。ほとんどのコマンドは、その名前と一般的な目的によって見ることができます。installphoneapp "はAndroidアプリケーションをダウンロードし、コンピュータに接続された携帯電話にインストールします。
調査が開始された時点で、これらのAndroidアプリはダウンロードできなくなっていました。いくつかのサンプルは、日本のセキュリティフォーラムで発見されました。以下は、これらのアプリのスクリーンショットです:
以下は、ESET が日常的に検出している Win32/kankan というソフトウェアのインストールデータです:
