BKDR_NIDRAN.A
Trojan:Win32/Dynamer!ac (Microsoft); Win32/Agent.XWU (ESET); Trojan.Win32.Scar.lmvo (Kaspersky); Backdoor.Nidiran!g1 (Symantec);
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\SPmsamger.dll
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
マルウェアは、以下のサービスを追加するDLLファイルです。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
Type = "32"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
Start = "2"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
ErrorControl = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
DisplayName = "Microsoft Security Accounts Manager"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
ImagePath = "%SystemRoot%\System32\svchost.exe -k msamger"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger
Description = "Support Security Accounts Manager For Micorosft Windows. If this service is stopped, any services that depended on it will fail to start"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Parameters
ServiceDll = "%System%\SPmsamger.dll"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Parameters
ServiceMain = "DllRegisterEntry"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Security
Security = "(hex values)"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Enum
0 = "Root\LEGACY_MSAMGER\0000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Enum
Count = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\msamger\Enum
NextInstance = "1"