解析者: Jasen Sumalapao   
 別名:

Backdoor:Win32/Remosh.gen!A (Microsoft), Trojan.Gen (Symantec), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (FSecure), TR/Dropper.Gen (Antivir), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (Bitdefender), PUA.Win32.Packer.SetupExeSection (Clamav), Win32/Agent.PGE trojan (NOD32), Suspicious file (Panda), TrojanDropper.Agent.fsix (VBA32)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、ファイル作成する際、よくあるファイル名を用いて正規のアプリケーションを装います。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 26,624 bytes
タイプ EXE
発見日 2012年9月12日

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • SWF_DROPPER.BD

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

  • %System%\recycler32.dll

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

  • svchost.exe

マルウェアは、よく用いられるファイルアイコンを使用し、正規ファイルとして装います。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ImagePath = %systemroot%\system32\svchost.exe -k netsvcs

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = %System%\recycler32.dll

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Security
Security = {random value}

その他

マルウェアは、実行後、自身を削除します。