BKDR_REMCOS.TICOGAN
Gen:Variant.Graftor.477418 (GData); Gen:Variant.Graftor.477418 (B) (Emsisoft); Gen:Variant.Graftor.477418 (BitDefender)
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。 マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- %Application Data%\remcos
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。
自動実行方法
マルウェアは、以下のファイルを作成します。
- %Application Data%\remcos\logs.dat
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKCU\Software\Remcos-03OVEJ
EXEpath = DE 4F 07 B3 6C BC E5 09 94 F6 C9 49 1F 7F 12 73 E1 1E 8F 64 42 34 28 BC AF 49 2C 8A 95 E1 B7 DE 5F 98 0A 26 49 A3 D0 1C 17 D8 92 8A 3F 01 8F E8 9A 9C AA F5 F0 A1 F0 8E 5E 24 63 08 B6 06 46 68 79 8D 09 31 2E 81 68 E4 0A 2C 8F 45 2A 91 56 3E 9F F2 02 D2 4D 53 95 53 D6 20 46 86 6D 2C 60 4B
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.227.189:4900