BKDR_AGENT.ZXSQ
Windows 2000, XP, Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。
詳細
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccPwdSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccPxySvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NISUM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SymEvent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SYMTDI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\VFILT
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.dll\OpenWithProgids
dllfile =
マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\rundll32.exe = %System%\rundll32.exe:*:Enabled:rundll32
バックドア活動
マルウェアは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。