BKDR_BIFROSE.WINN

2016年8月10日

解析者: Jeanne Jocson

別名:

Backdoor.Win32.Bifrose.fpi (Kaspersky), Backdoor:Win32/Bifrose.gen!E (Microsoft)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。

詳細

ファイルサイズ 40,191 bytes

タイプ EXE

発見日 2016年8月5日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

%User Profile%\Local Settings\wminsts.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.)

マルウェアは、以下のプロセスを追加します。

iexplorer.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}

HKEY_LOCAL_MACHINE\SOFTWARE\SKav

HKEY_CURRENT_USER\Software\SKav

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
stubpath = "%User Profile%\Local Settings\wminsts.exe s"

HKEY_LOCAL_MACHINE\SOFTWARE\SKav
nck = "{hex values}"

HKEY_CURRENT_USER\Software\SKav
klg = "00"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

securitybbs.{BLOCKED}s.info
release2002.{BLOCKED}ame.org

マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。