BKDR_MORIX
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
詳細
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\92E2EA8E\svchsot.exe
- %Windows%\C2F5BC5E\svchsot.exe
- %Windows%\D9E29D95\svchsot.exe
- %Windows%\AD310664\svchsot.exe
- %Windows%\3BAFCB1D\svchsot.exe
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
マルウェアは、以下のファイルを作成します。
- %System%\3BAFCB1D.key
- %Windows%\Task\At1.job
- %Windows%\Task\At2.job
- %Windows%\Task\At3.job
- %Windows%\Task\At4.job
- %Windows%\Task\At5.job
- %Windows%\Task\At6.job
- %Windows%\Task\At7.job
- %Windows%\Task\At8.job
- %Windows%\Task\At9.job
- %Windows%\Task\At10.job
- %Windows%\Task\At11.job
- %Windows%\Task\At12.job
- %Windows%\Task\At13.job
- %Windows%\Task\At14.job
- %Windows%\Task\At15.job
- %Windows%\Task\At16.job
- %Windows%\Task\At17.job
- %Windows%\Task\At18.job
- %Windows%\Task\At19.job
- %Windows%\Task\At20.job
- %Windows%\Task\At21.job
- %Windows%\Task\At22.job
- %Windows%\Task\At23.job
- %Windows%\Task\At24.job
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
3BAFCB1D = "%Windows%\3BAFCB1D\svchsot.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"
マルウェアは、以下のレジストリキーを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
NextAtJobId = "19"
(註:変更前の上記レジストリ値は、「"1"」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}d.{BLOCKED}n.com
- {BLOCKED}hi2.facai2013.com
- {BLOCKED}8v.mingren1004.com
- {BLOCKED}ec.jiugui1919.com
- {BLOCKED}.{BLOCKED}.126.98
- {BLOCKED}.{BLOCKED}.126.98
- {BLOCKED}.{BLOCKED}.151.192
- {BLOCKED}1.{BLOCKED}mbi.com
- {BLOCKED}2.{BLOCKED}mbi.com
- {BLOCKED}3.{BLOCKED}mbi.com