Trend Micro Security

BKDR_CYCBOT.UITY

2012年10月9日
 解析者: rolandde   
 別名:

Backdoor:Win32/Cycbot.G (Microsoft); Trojan.Win32.Jorik.Gbot.qxy (Kaspersky)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 287,232 bytes
タイプ EXE
発見日 2011年11月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\LP\{random}\{random}.exe

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

マルウェアは、以下の無害なファイルを作成します。

  • %User Profile%\Application Data\{random}\{random}

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\{random}
  • %Program Files%\{random}
  • %Program Files%\LP
  • %Program Files%\LP\{random}

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Program Files%は、標準設定では "C:\Program Files" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\0open

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http={BLOCKED}7.{BLOCKED}.0.1:59798"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random}.exe = "%Program Files%\LP\{random}\{random}.exe"

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

マルウェアは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}accesss.com
  • {BLOCKED}amaforyou.com
  • {BLOCKED}ipitour.com
  • {BLOCKED}rdelis.com
  • {BLOCKED}4image.com
  • {BLOCKED}t4you.com
  • {BLOCKED}ontainer.com
  • {BLOCKED}eurosys.com
  • {BLOCKED}bletpcforme.com
  • {BLOCKED}ldonlines.com
  • {BLOCKED}tfrommains.com
  • {BLOCKED}reportsystem.com