BKDR_SIMBOT.AX
Backdoor:Win32/Simbot (Microsoft), DeepScan:Generic.Malware.SVdld!.7C8060FE (FSecure), DeepScan:Generic.Malware.SVdld!.7C8060FE (Bitdefender)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活动の有无:
なし
暗号化:
なし
感染報告の有無 :
はい
? 概要
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、作成されたファイルを実行します。
ただし、情报公开日现在、この奥别产サイトにはアクセスできません。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_ARTIEF.AX
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %User Profile%\ntuser.cfg - detected as BKDR_SIMBOT.AX
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- NTUserCfg
- efcc ilitat
自动実行方法
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NTUCF = "rundll32 %User Profile%\ntuser.cfg,Config"
バックドア活动
マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.247.57:80
作成活动
マルウェアは、作成されたファイルを実行します。
ダウンロード活动
マルウェアは、以下の奥别产サイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://ssl.{BLOCKED}3.org/images/dw.html
- http://ssl.{BLOCKED}3.org/images/fc.asp
- http://ssl.{BLOCKED}3.org/images/pma.pdf
ただし、情报公开日现在、この奥别产サイトにはアクセスできません。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「叠碍顿搁冲厂滨惭叠翱罢.础齿」を作成またはダウンロードする不正なファイルを削除します。