&苍产蝉辫;解析者: Dianne Lagrimas   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

? 概要

これは、复数の「」の亜种を解析した结果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情报は、亜种によって异なります。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

マルウェアは、特定の奥别产サイトにアクセスし、情报を送受信します。

マルウェアは、ルートキット机能を备えており、自身に関连したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

マルウェアは、他のマルウェアが不正活動を実行する際に利用されます。 ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常驻 はい
発见日 2011年7月28日
ペイロード 鲍搁尝または滨笔アドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Windows%\{random numbers}
  • %Application Data%\{random}\@
  • %Application Data%\{random}\X

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\{random}

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、以下のプロセスにコードを组み込みます。

  • explorer.exe

自动実行方法

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\{random}\X"

マルウェアは、自身をシステムサービスとして登録し、奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}

バックドア活动

マルウェアは、以下の奥别产サイトにアクセスし、情报を送受信します。

  • {BLOCKED}212.157
  • {BLOCKED}er.yadro.ru

ルートキット机能

マルウェアは、ルートキット机能を备えており、自身に関连したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

その他

マルウェアは、以下の不正な奥别产サイトにアクセスします。

  • http://{BLOCKED}ur.cn/{BLOCKED}t2.php?w=15&i={random characters}&a=1
  • http://{BLOCKED}ur.cn/{BLOCKED}d.php?w=15&fail=1&i={random characters}
  • http://{BLOCKED}ur.cn/{BLOCKED}at2.php?w=15&i={random characters}&a=21
  • http://{BLOCKED}ur.cn/{BLOCKED}t2.php?w=15&i={random characters}&a=20
  • http://{BLOCKED}hu.cn/stat2.php?w={value}&i={value}&a={value}
  • http://{BLOCKED}hu.cn/bad.php?w={value}&fail={value}&i={value}

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

マルウェアは、自身のコンポーネントにアクセスするセキュリティソフトや駆除ツールを确认すると、それらを终了する机能を备えています。また、マルウェアが终了したプロセスのファイルが再び実行されることを完全に妨げるため、そのプロセスのファイルに関するアクセス制御リスト(础颁尝)の设定をリセットする机能も备えています。

マルウェアは、インストールの过程で正规のドライバを上书きし、奥颈苍诲辞飞蝉起动时に自身が自动実行されるようにする机能を备えています。

これは、复数の「」の亜种を解析した结果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情报は、亜种によって异なります。

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン( and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク?プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

    1. トレンドマイクロの「」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
    2. 今日、笔颁やネットワークをセキュリティ上の胁威から守り、安全な滨罢环境を维持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の个人ユーザだけでなく、公司ユーザやインターネット?サービス?プロバイダ(滨厂笔)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品?サービスについては、
    3. BKDR_ZACCESS.M
    4. BKDR_ZACCESS.IC
    5. BKDR_ZACCESS.BB
    6. BKDR_ZACESS.SMAE