BKDR_OSTI.A
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 14,336 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年7月11日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Documents and Settings\Wilbert
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
DCOM = "{malware path and file name}"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0279591161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0284691161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0014441161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0145171161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0054001161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0217921161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0132181161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0086371161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0190031161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0023701161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0122491161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0106261161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0273721161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0305721161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0030431161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0235591161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0206601161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0231231161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0004381161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0033841161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0149381161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0015171161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0093381161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0057471161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0090501161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0125741161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0050161161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0033991161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0121791161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0006601161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0256201161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0223961161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0325761161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0258401161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0133401161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0164671161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0325531161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0261501161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0073931161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0294541161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0023311161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0097661161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0303731161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0324351161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0267731161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0063321161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0089811161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0181901161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0060841161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0078601161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0209541161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0017811161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0186091161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0149151161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0295471161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0183841161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0037701161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0252501161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0200051161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0292721161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0154231161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0151001161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0270371161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0237101161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0185891161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0124261161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0174611161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0310551161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0210881161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0174051161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0017731161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0031271161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0045321161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0005401161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0111321161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0020531161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0202531161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0285901161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0185921161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0310541161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0129041161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0278021161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0308981161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0089161161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0322261161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0210691161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0037091161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0120391161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0025031161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0208281161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0031521161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0068601161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0051171161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0210981161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0044341161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0157421161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0143381161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0241411161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0125661161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0046581161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0089961161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0208441161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0269911161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0097921161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0227681161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0241711161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0108861161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0207351161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0071481161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0092271161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0095131161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0063511161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0201051161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0231151161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0213501161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0269731161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0246591161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0232521161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0285051161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0325461161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0070191161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0021951161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0195221161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0113091161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0261671161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0232081161670G6G83
- http://bitcom.{BLOCKED}yk.com:80/ms.htm?id=0178821161670G6G83
- http://bitcom.{BLOCKED}yk.com:443/ms.htm?id=0230751161670G6G83
- http://bitcom.{BLOCKED}yk.com:0/ms.htm?id=0198001161670G6G83
- http://zones.{BLOCKED}st.tw:80/ms.htm?id=0037111161670G6G83
- http://zones.{BLOCKED}st.tw:443/ms.htm?id=0148241161670G6G83
- http://zones.{BLOCKED}st.tw:0/ms.htm?id=0280361161670G6G83
- http://members.{BLOCKED}n.net:80/ms.htm?id=0271001161670G6G83
- http://members.{BLOCKED}n.net:443/ms.htm?id=0177241161670G6G83
- http://members.{BLOCKED}n.net:0/ms.htm?id=0163991161670G6G83
このウイルス情報は、自動解析システムにより作成されました。
対応方法
対応検索エンジン: 9.750
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
[ 詳細 ]
手順 3
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- DCOM = "{malware path and file name}"
手順 4
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_OSTI.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください