BKDR_TROGBOT.A

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• TROJ_PIDIEF.CSW
• TROJ_PIDIEF.CSX
• TROJ_PIDIEF.CRW

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

• %System%\strunlib.dll - also detected as BKDR_TROGBOT.A

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSStorage\Parameters
ServiceDll = strunlib.dll

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Storage\STConfig

バックドア活動

マルウェアは、以下のポートを開き、リモートコマンドを待機します。

• Download Files
• Upload Files
• Manage Files
• Execute Files
• Check Drives
• Send Message
• Hibernate affected Machine

マルウェアは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}4.{BLOCKED}3.248.70
• {BLOCKED}9.{BLOCKED}2.148.82