BKDR_FYNLOSKI.C
Backdoor:Win32/Fynloski.A (Microsoft); PAK:PE_Patch.Enigma (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\bootsys\boot.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\bootsys
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
syslds = "%User Profile%\Application Data\bootsys\boot.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%User Profile%\Application Data\bootsys\boot.exe"
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\DC3_FEXEC
HKEY_CURRENT_USER\Software\Enigma Protector
HKEY_CURRENT_USER\Software\sang sinsang
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
マルウェアは、インストールの過程で以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "1"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://cafe.{BLOCKED}r.com/csobluedragon03
- {BLOCKED}86.codns.com
ただし、情報公開日現在、このWebサイトにはアクセスできません。