別名:

Bjlog, Graftor

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\mmd.exe
  • %Program Files%\%SESSIONNAME%\{random characters}.cc3
  • %System%\{random characters}.rdb
  • %Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%\fupmj.cc3

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\{random}

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のフォルダを作成します。

  • %Program Files%\%SESSIONNAME%
  • %Application Data%\Systems
  • %Application Data%\Systems\ACDSee
  • %Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
seRVicemAIN = "NPGetResourceParent"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
seRVicedlL = "%Program Files%\%SESSIONNAME%\{random characters}.cc3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ\Parameters
seRVicemAIN = "NPGetResourceParent"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70
ImagePath = "%System%\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
serviceDlL = "%Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%\fupmj.cc3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_HIDSERV\
0000
Service = "HidServ"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_HIDSERV

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
ErrorControl = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ\Parameters
ServiceDll = "%Program Files%\%SESSIONNAME%\{random characters}.cc3"

(註:変更前の上記レジストリ値は、「%System%\hidserv.dll」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
Start = "2"

(註:変更前の上記レジストリ値は、「4」となります。)

マルウェアは、以下のレジストリ値を削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
DependOnService = "RpcSs"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • news.{BLOCKED}o.com
  • music.{BLOCKED}rj.com
  • dm.{BLOCKED}its.com
  • wel.{BLOCKED}college.net