プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

このバックドア型マルウェアのファミリにより、感染したコンピュータへの不正アクセスおよび制御が可能になります。マルウェアは、ファイルのダウンロードおよびリモートシェルコマンドの実行、サービスやプロセス、ウィンドウの管理、スクリーンショットの取得等のさまざまなコマンドを実行します。その結果、感染したコンピュータのセキュリティが侵害されます。

さらに、「MORIX」は、「スケジュールされたタスク」を作成することにより、毎日毎時間、自身のコピーを実行することができます。マルウェアは、特定のセキュリティソフトに関連するプロセスを終了させるため、コンピュータ上での検出が困難になります。

  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Windows%\92E2EA8E\svchsot.exe
  • %Windows%\C2F5BC5E\svchsot.exe
  • %Windows%\D9E29D95\svchsot.exe
  • %Windows%\AD310664\svchsot.exe
  • %Windows%\3BAFCB1D\svchsot.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のファイルを作成します。

  • %System%\3BAFCB1D.key
  • %Windows%\Task\At1.job
  • %Windows%\Task\At2.job
  • %Windows%\Task\At3.job
  • %Windows%\Task\At4.job
  • %Windows%\Task\At5.job
  • %Windows%\Task\At6.job
  • %Windows%\Task\At7.job
  • %Windows%\Task\At8.job
  • %Windows%\Task\At9.job
  • %Windows%\Task\At10.job
  • %Windows%\Task\At11.job
  • %Windows%\Task\At12.job
  • %Windows%\Task\At13.job
  • %Windows%\Task\At14.job
  • %Windows%\Task\At15.job
  • %Windows%\Task\At16.job
  • %Windows%\Task\At17.job
  • %Windows%\Task\At18.job
  • %Windows%\Task\At19.job
  • %Windows%\Task\At20.job
  • %Windows%\Task\At21.job
  • %Windows%\Task\At22.job
  • %Windows%\Task\At23.job
  • %Windows%\Task\At24.job

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
3BAFCB1D = "%Windows%\3BAFCB1D\svchsot.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
NextAtJobId = "19"

(註:変更前の上記レジストリ値は、「"1"」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}d.{BLOCKED}n.com
  • {BLOCKED}hi2.facai2013.com
  • {BLOCKED}8v.mingren1004.com
  • {BLOCKED}ec.jiugui1919.com
  • {BLOCKED}.{BLOCKED}.126.98
  • {BLOCKED}.{BLOCKED}.126.98
  • {BLOCKED}.{BLOCKED}.151.192
  • {BLOCKED}1.{BLOCKED}mbi.com
  • {BLOCKED}2.{BLOCKED}mbi.com
  • {BLOCKED}3.{BLOCKED}mbi.com

  対応方法

対応検索エンジン: 9.700

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください