BKDR_REMOSH.BD
Backdoor:Win32/Remosh.gen!A (Microsoft), Trojan.Gen (Symantec), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (FSecure), TR/Dropper.Gen (Antivir), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (Bitdefender), PUA.Win32.Packer.SetupExeSection (Clamav), Win32/Agent.PGE trojan (NOD32), Suspicious file (Panda), TrojanDropper.Agent.fsix (VBA32)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
マルウェアは、ファイル作成する際、よくあるファイル名を用いて正規のアプリケーションを装います。
マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- SWF_DROPPER.BD
マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %System%\recycler32.dll
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。
- svchost.exe
マルウェアは、よく用いられるファイルアイコンを使用し、正規ファイルとして装います。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ImagePath = %systemroot%\system32\svchost.exe -k netsvcs
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = %System%\recycler32.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Security
Security = {random value}
その他
マルウェアは、実行後、自身を削除します。