BKDR_BIFROSE.WINN
Backdoor.Win32.Bifrose.fpi (Kaspersky), Backdoor:Win32/Bifrose.gen!E (Microsoft)
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。
- %User Profile%\Local Settings\wminsts.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、以下のプロセスを追加します。
- iexplorer.exe
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
HKEY_LOCAL_MACHINE\SOFTWARE\SKav
HKEY_CURRENT_USER\Software\SKav
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
stubpath = "%User Profile%\Local Settings\wminsts.exe s"
HKEY_LOCAL_MACHINE\SOFTWARE\SKav
nck = "{hex values}"
HKEY_CURRENT_USER\Software\SKav
klg = "00"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- securitybbs.{BLOCKED}s.info
- release2002.{BLOCKED}ame.org
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。