BKDR_CYCBOT.SMA
Backdoor:Win32/Cycbot.B (Microsoft; Backdoor.Cycbot!gen3 (Norton); BackDoor-EXI.gen.i (NAI)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\dwm.exe
- %Application Data%\Microsoft\conhost.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\B0B2D
- %Program Files%\2D6E3
- %Program Files%\LP
- %Program Files%\LP\7CCB
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe,%Application Data%\dwm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
conhost = "%Application Data%\Microsoft\conhost.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:{random numbers}"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender
DisableAntiSpyware = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}onlinecatalog.com
- {BLOCKED}topmusiconline.com
- {BLOCKED}ratemilkandtee.com
- {BLOCKED}speeddbsearch.com
- {BLOCKED}logsourcecodes.com
- {BLOCKED}legamesonlines.com
- {BLOCKED}nebackuostore4you.com
- {BLOCKED}useyescat.com
- {BLOCKED}roskopia.com
- {BLOCKED}whoisdb.com
- {BLOCKED}rogrammingshool.com
- {BLOCKED}secureonline.com
- {BLOCKED}ukaclubonline.com
- {BLOCKED}idioz.com
- {BLOCKED}ybigtit.com
- {BLOCKED}storepro.com
- {BLOCKED}dmeroster.com
- {BLOCKED}tazone.com
- {BLOCKED}torefor.com
- {BLOCKED}torepro.com
- {BLOCKED}epdahelpforyou.com
- {BLOCKED}kreddomas.com
- {BLOCKED}fersakkonline.com
- {BLOCKED}pdomaintolevel.com
- {BLOCKED}oyoustudios.com
- {BLOCKED}lkhypnocrys.com
- {BLOCKED}ats.com
ただし、情報公開日現在、このWebサイトにはアクセスできません。
プロセスの終了
マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- avgnt.exe
- Avira*
- ccsvchst.exe
- Norton*
- Symantec*
- AvastUI.exe
- Alwil Software*
- Avast*
- mcagent.exe
- McAfee*
- avira
- norton
- avast
- mcafee
- bitdef
- kasper
- drweb
- nod32
- AVGIDSAgent.exe
- avgwdsvc.exe
作成活動
マルウェアは、収集した情報を保存するために以下のファイルを作成します。
- %Application Data%\9EAE.6BA
- %User Profile%\Application Data\B0B2D\D6E3.0B2
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}eafdesign.com/blog/images/share/facebook.png
- http://{BLOCKED}eafdesign.com/blog/images/share/stumble.png
- http://{BLOCKED}o.com/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg
- http://{BLOCKED}ar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1
- http://{BLOCKED}ar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2
- http://{BLOCKED}erbalteaonline.com/images/greenherbalteagirlholdingcup250.gif
- http://{BLOCKED}erbalteaonline.com/images/greenherbalteagirlholdingcup350.gif
- http://{BLOCKED}ylifenow.com/templates/7348/images/header_logo.jpg
- http://{BLOCKED}ylifenow.com/templates/7349/images/header_logo.jpg
- http://{BLOCKED}dandbarrett.com/images/footer/account.gif
- http://{BLOCKED}dandbarrett.com/images/footer/account.jpg
- http://{BLOCKED}segreenteaonline.com/assets/images/greentea-cha-1.gif
- http://{BLOCKED}segreenteaonline.com/assets/images/greentea-cha-2.gif
- http://{BLOCKED}opaganda.net/blog/pics/3321.jpg
- http://{BLOCKED}opaganda.net/blog/pics/3322.jpg
- http://{BLOCKED}rom.at/polytheism/pictures/TanzenderShiva.jpg
- http://{BLOCKED}sautoelectric.com/images/50-217-1_F_1_.jpg
- http://{BLOCKED}sautoelectric.com/images/50-217-1_F_2_.jpg
- http://{BLOCKED}bizdirectory.com/images/PowerHideBanner.gif
- http://{BLOCKED}bizdirectory.com/images/PowerShowBanner.gif
- http://{BLOCKED}datingsecretfriends.com/images/im133.jpg
- http://{BLOCKED}datingsecretfriends.com/images/im134.jpg
- http://{BLOCKED}institute.com/g7/images/logo.jpg
- http://{BLOCKED}institute.com/g7/images/logo2.jpg
- http://{BLOCKED}institute.com/g7/images/logo3.jpg
- http://{BLOCKED}institute.com/g7/images/logo4.jpg
- http://{BLOCKED}om/img/icons/facebook.png
- http://{BLOCKED}om/img/icons/twitter.png
- http://{BLOCKED}ftwaredevelopment.com/WindowsLiveWriter/web-2_0_thumb_1.gif
- http://{BLOCKED}ts.com/images/logo.pn
- http://{BLOCKED}enewworldorder.com/images/pages.jpg
- http://{BLOCKED}mtonschools.org/images/ace/1/ace_1101278014_1314729789.jpg
- http://{BLOCKED}mtonschools.org/images/297893.jpg
- http://{BLOCKED}mtonschools.org/images/297894.jpg
- http://{BLOCKED}cationalsoftware.com/credi cardlogos.gif
- http://{BLOCKED}ucationalsoftware.com/creditcard.png
- http://{BLOCKED}cationalsoftware.com/creditcard2.png
- http://{BLOCKED}genius.com/temp/head.png
- http://{BLOCKED}tgenius.com/132.gif
- http://{BLOCKED}tgenius.com/133.gif
- http://{BLOCKED}wnload3.com/screenshot/4/s/89_3276.gif
- http://{BLOCKED}load3.com/screenshot/4/s/89_3277.gif
- http://{BLOCKED}wnload3.com/screenshot/4/s/89_3278.gif
- http://{BLOCKED}analyst.com/png/intel.gif
- http://{BLOCKED}analyst.com/png/intel.jpg
- http://{BLOCKED}nalyst.com/12.jpg
- http://{BLOCKED}intsboard.com/complaints/logo.png
- http://{BLOCKED}aintsboard.com/complaints/zip.png
- http://{BLOCKED}intsboard.com/complaints/rar.png
- http://{BLOCKED}edinternetlosangeles.webnode.com/news/1.cgi
- http://{BLOCKED}edinternetlosangeles.webnode.com/news/1.php
- http://{BLOCKED}eedinternetlosangeles.webnode.com news/2.php
- http://{BLOCKED}ldorderreport.com/favicon.ico
- http://{BLOCKED}ldorderreport.com/img/3421.png
- http://{BLOCKED}rldorderreport.com/img/3422.png
- http://{BLOCKED}henewworldorder.com/images/pages.png
- http://cdn.{BLOCKED}ofdeception.com/wp-content/uploads/2011/06/frame6.png
- http://cdn.{BLOCKED}ofdeception.com/wp-content/uploads/2011/06/frame7.png
- http://cdn.{BLOCKED}ofdeception.com/logo.png
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、プロキシサーバとして機能します。マルウェアは、感染コンピュータ上で、インターネットブラウザにリクエストされた情報を傍受し、自身にそのリクエストが送信されるようにします。このとき、マルウェアは、レジストリに追加されたポート番号を利用します。
マルウェアは、以下の文字列を参照しながら感染したコンピュータのインターネット閲覧活動を監視し、人気の検索エンジンやソーシャル・ネットワーキング・サイト(SNS)関連のWebサイトにユーザがアクセスしているかどうかを確認します。そしてマルウェアは、これらのWebサイトから情報を傍受します。
- .2mdn.
- .abmr.
- .adtechus.
- .aol.
- .atdmt.
- .atwola.
- .autodatadirect.
- .bing.net
- .dartsearch.
- .doubleclick.
- .ggpht.
- .ivwbox.
- .mapquestapi.
- .microsoft.
- .opera.
- .tacoda.
- .thawte.
- .tlowdb.
- .truveo.
- .virtualearth.
- .wsod.
- .yimg.com
- .ypcdn.
- amazon.
- aol/search
- aolcdn.
- aolsvc.
- bing.com
- bing.com/search
- blogger
- brightcove.com
- doubleclick.
- ebay.
- facebook.
- flickr
- google-analytics.
- google.
- googlesyndication.
- googleusercontent.
- gstatic.
- imdb.
- mapq.st
- scorecardresearch.com
- search.aol.
- search.yahoo.com/search
- searcht2.aol.
- suche.aol.
- twitter.
- wikimedia.
- wikipedia.
- yahoo.
- yahoo.com
- youtube.
- ytimg.
- /complete/search
- /gen_204
- /images
- /imglanding
- ?query=
- &&&&query=
マルウェアは、インターネットブラウザのアドレスバーを監視します。そして、アドレスバーに以下のいずれかの文字列を確認すると、ユーザを他のページへと誘導します。
- Avast
- Avira
- Dr.Web
- Kaspersky
- McAfee
- ESET NOD32
- Norton
- BitDefender
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「BKDR_CYCBOT.SMA」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "explorer.exe,%Application Data%\dwm.exe"
- Shell = "explorer.exe,%Application Data%\dwm.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- conhost = "%Application Data%\Microsoft\conhost.exe"
- conhost = "%Application Data%\Microsoft\conhost.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- ProxyServer = "http=127.0.0.1:{random numbers}"
- ProxyServer = "http=127.0.0.1:{random numbers}"
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
- From: ProxyEnable = "1"
To: ProxyEnable = "0
- From: ProxyEnable = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings
- From: ProxyEnable = "1"
To: ProxyEnable = "0"
- From: ProxyEnable = "1"
- In HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings
- From: ProxyEnable = "1"
To: ProxyEnable = "0"
- From: ProxyEnable = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
- From: DisableAntiSpyware = "1"
To: DisableAntiSpyware = "0"
- From: DisableAntiSpyware = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- From: ProxyEnable = "1"
To: ProxyEnable = "0"
- From: ProxyEnable = "1"
手順 5
以下のフォルダを検索し削除します。
- %User Profile%\Application Data\B0B2D
- %Program Files%\2D6E3
- %Program Files%\LP
手順 6
以下のファイルを検索し削除します。
- %Application Data%\9EAE.6BA
- %User Profile%\Application Data\B0B2D\D6E3.0B2
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_CYCBOT.SMA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください