BKDR_POISON.DOC
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
? 概要
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情报公开日现在、この奥别产サイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_ARTIEF.DOC
インストール
マルウェアは、以下の无害なファイルを作成します。
- %System Root%\RECYCLER\aa.txt
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自动実行方法
マルウェアは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。
- MSN Talk Start.lnk
バックドア活动
マルウェアは、以下のポートを开き、リモートコマンドを待机します。
- TCP Port 443
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Act as a relay server
- Capture screen, audio, and webcam
- List active ports
- Log keystrokes
- Manage open Windows
- Manage passwords
- Manage registry, processes, services, devices, and installed applications
- Perform multiple simultaneous transfers
- Perform remote shell
- Search files
- Share servers
- Update, restart, terminate itself
マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- timesofindia.{BLOCKED}6.org
- timesofindia.{BLOCKED}p.net
ただし、情报公开日现在、この奥别产サイトにはアクセスできません。
その他
マルウェアは、以下のコマンドを実行します。
- リレーサーバ机能
- スクリーンショット、音声、奥别产カメラの画像の取得
- アクティブなポートの表示
- キー入力操作情报の収集
- 开いているウィンドウの管理
- パスワードの管理
- レジストリ、プロセス、サービス、デバイス、インストールされているアプリケーションの管理
- 同时に多数のファイル移动の実行
- リモートシェルの実行
- ファイルの検索
- サーバの共有
- 自身の更新、再起动、终了
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「BKDR_POISON.DOC」 を作成またはダウンロードする不正なファイルを削除します。