BKDR_BIFROSE.WINB

2015年5月4日

解析者: Joachim Suico

別名:

Backdoor:Win32/Bifrose.HM (Microsoft); Trojan horse BackDoor.Bifrose.PBR (AVG); W32/Bifrose.NSZ!tr (Fortinet)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 32,640 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年4月10日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Program Files%\netko\netko.exe (Windows XP and below)
%Application Data%\netko\netko.exe (Windows Vista and above)

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\netko
pnp = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\netko
Ask = "{hex values}"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

alive.{BLOCKED}e.com