解析者: Michael Cabel   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 10,563,072 bytes
タイプ DLL
メモリ常駐 はい
発見日 2011年7月13日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %Program Files%\Wbod

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers1}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers2}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers3}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers4}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers5}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gieiab Prtvqoqt Bgj\Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

他のシステム変更

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
imgsvc = "StiSvc Gieiab Prtvqoqt Bgj"

(註:変更前の上記レジストリ値は、「StiSvc」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %Program Files%\Wbod\Xkrlgrlng.pic - also detected as BKDR_INJECT.TP

(註:%Program Files%は、標準設定では "C:\Program Files" です。)