BKDR_PUSHDO.YQ
Backdoor.Win32.Pushdo.rie (Kaspersky)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\ryxrezulmebc.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Crypto
- %Application Data%\Microsoft\Crypto\RSA
- %Application Data%\Microsoft\Crypto\RSA\{GUID}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ryxrezulmebc = "%User Profile%\ryxrezulmebc.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{random numbers} = "{random values}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{random values}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{random numbers} = "{random values}"
HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random values}"
作成活動
マルウェアは、以下のファイルを作成します。
- %Application Data%\Microsoft\Crypto\RSA\{GUID}\{random filename}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}utaire.com
- {BLOCKED}eratorsolutions.com
- {BLOCKED}modationinvenice.com
- {BLOCKED}ntancywales.com
- {BLOCKED}swift.com
- {BLOCKED}a.com.br
- {BLOCKED}ctory.net
- {BLOCKED}eday.com
- {BLOCKED}-vids.com
- {BLOCKED}eticsoft.com
- {BLOCKED}oatsys.com
- {BLOCKED}wared.com
- {BLOCKED}-cristina.fr
- {BLOCKED}elhost.com
- {BLOCKED}et.org
- {BLOCKED}4.gmail-smtp-in.l.google.com
- {BLOCKED}er.ru
- {BLOCKED}i.com
- {BLOCKED}eturadigital.com
- {BLOCKED}indo.com
- {BLOCKED}ce-web.net
- {BLOCKED}printing.com
- {BLOCKED}cesoria.com.pl
- {BLOCKED}teller.com
- {BLOCKED}ass-takatsuki.com
- {BLOCKED}nsdespetits.com
- {BLOCKED}y.com
- {BLOCKED}kel.be
- {BLOCKED}fulworksforyou.com
- {BLOCKED}oodmetalworks.com
- {BLOCKED}inic.net
- {BLOCKED}raelcenter.org
- {BLOCKED}o.com
- {BLOCKED}multimedia.com
- {BLOCKED}k.com
- {BLOCKED}ex.pl
- {BLOCKED}mvalleybiblechurch.com
- {BLOCKED}corso.com
- {BLOCKED}se.ro
- {BLOCKED}dia.com
- {BLOCKED}lkorfball.org
- {BLOCKED}arm.com.au
- {BLOCKED}d.com
- {BLOCKED}ey.com
- {BLOCKED}lmedia.com
- {BLOCKED}ege.org
- {BLOCKED}nic.com
- {BLOCKED}ofs.com
- {BLOCKED}geny.net
- {BLOCKED}ting.com.au
- {BLOCKED}an.com
- {BLOCKED}cations.com
- {BLOCKED}lth.com
- {BLOCKED}lafeed.com
- {BLOCKED}ya.com
- {BLOCKED}s.com
- {BLOCKED}ope.com
- {BLOCKED}tecovers.com
- {BLOCKED}select.com
- {BLOCKED}uscle.com
- {BLOCKED}upplies.net
- {BLOCKED}e.com.br
- {BLOCKED}m.com.br
- {BLOCKED}donmarketing.com
- {BLOCKED}basementsystems.com
- {BLOCKED}ystems.com
- {BLOCKED}h.com
- {BLOCKED}ex.co.in
- {BLOCKED}s.com
- {BLOCKED}ion507.com
- {BLOCKED}lerepairguy.com
- {BLOCKED}oach.ch
- {BLOCKED}housetravelclinic.com
- {BLOCKED}ney.ca
- {BLOCKED}msignstore.com
- {BLOCKED}ervice.de
- {BLOCKED}edia.com
- {BLOCKED}naffair.org
- {BLOCKED}racyctr.org
- {BLOCKED}ltd.com.tr
- {BLOCKED}ndkittycats.com
- {BLOCKED}alshell.net
- {BLOCKED}alsmarthomes.com
- {BLOCKED}erry.com
- {BLOCKED}sting.com
- {BLOCKED}mepacificrepairs.com
- {BLOCKED}t4.{BLOCKED}p-in.l.google.com
- {BLOCKED}otek.com
- {BLOCKED}ossomvalleybiblechurch.com
- {BLOCKED}mbridgeny.net
- {BLOCKED}ntinelafeed.com
- {BLOCKED}opcoach.ch
- {BLOCKED}urthousetravelclinic.com
- {BLOCKED}starchofamerica.com
- {BLOCKED}rden-cook.com
- {BLOCKED}ail-smtp-in.l.google.com
- {BLOCKED}1.smtp.{BLOCKED}ngengine.com
- {BLOCKED}il7.{BLOCKED}lwaves.co.nz
- {BLOCKED}ndysflorist.com
- {BLOCKED}s.mail.ru
- {BLOCKED}jnail.com
- {BLOCKED}intball.be
- {BLOCKED}flite.com
- {BLOCKED}ot.com.pl
- {BLOCKED}rnayabogados.com
- {BLOCKED}latino.org
- {BLOCKED}bo-separator.ch
- {BLOCKED}card.com
- {BLOCKED}perisp.com
- {BLOCKED}pa.com.mx
- {BLOCKED}t.co.uk
- {BLOCKED}c-vp.com
- {BLOCKED}rite.com
- {BLOCKED}kyaku.com
- {BLOCKED}ming.com
- {BLOCKED}m.org
- {BLOCKED}steye.com
- {BLOCKED}n.com
- {BLOCKED}a.org.pl
- {BLOCKED}terno.com
- {BLOCKED}l.gr
- {BLOCKED}dalia.com
- {BLOCKED}ravels.com
- {BLOCKED}atsanat.com
- {BLOCKED}les.com
- {BLOCKED}i.com
- {BLOCKED}zio.net
- {BLOCKED}o.net
- {BLOCKED}sur.com
- {BLOCKED}gin.com
- {BLOCKED}-gekijo.com
- {BLOCKED}rphonecover.com
- {BLOCKED}rco.it
- {BLOCKED}opinion.org
- {BLOCKED}lmes.com.br
- {BLOCKED}ickallergy.com
- {BLOCKED}nebro.com.es
- {BLOCKED}ligonier.org
- {BLOCKED}last.com
- {BLOCKED}ngonlinemagazine.com
- {BLOCKED}stuff.com
- {BLOCKED}-cook.com
- {BLOCKED}undation.com
- {BLOCKED}xrecords.com
- {BLOCKED}isions.com
- {BLOCKED}rmusa.com
- {BLOCKED}aymonda.com
- {BLOCKED}u.net
- {BLOCKED}k.com.pl
- {BLOCKED}l-smtp-in.l.google.com
- {BLOCKED}stusa.com
- {BLOCKED}rk-moossee.ch
- {BLOCKED}ll.com.kh
- {BLOCKED}mestove.com
- {BLOCKED}hicago.com
- {BLOCKED}roft.org
- {BLOCKED}exus.com.ar
- {BLOCKED}unez.com
- {BLOCKED}bfemales.com
- {BLOCKED}design.com
- {BLOCKED}ood.com
- {BLOCKED}d.net
- {BLOCKED}n.com
- {BLOCKED}wiese.de
- {BLOCKED}yim.com
- {BLOCKED}ortonmedellin.com
- {BLOCKED}rvices.com
- {BLOCKED}chem.com
- {BLOCKED}asphalt.com
- {BLOCKED}d.com.br
- {BLOCKED}unications.com
- {BLOCKED}co.com
- {BLOCKED}argas.com.br
- {BLOCKED}omocions.com
- {BLOCKED}x.com.pl
- {BLOCKED}1.smtp.{BLOCKED}ingengine.com
- {BLOCKED}unction.com
- {BLOCKED}tway.net
- {BLOCKED}k.com
- {BLOCKED}rnataka.org
- {BLOCKED}h.com
- {BLOCKED}glish.net
- {BLOCKED}inman.com
- {BLOCKED}lantic.com
- {BLOCKED}r.com
- {BLOCKED}lledebain.net
- {BLOCKED}club.com
- {BLOCKED}nnect.co.za
- {BLOCKED}uen.com
- {BLOCKED}okuren.com
- {BLOCKED}o.com
- {BLOCKED}al.com
- {BLOCKED}4.com
- {BLOCKED}es.net
- {BLOCKED}uegoldens.com
- {BLOCKED}anko.org
- {BLOCKED}gine.com
- {BLOCKED}i.or.jp
- {BLOCKED}iage.com
- {BLOCKED}.com
- {BLOCKED}ymuskies.com
- {BLOCKED}llar.com
- {BLOCKED}rtpark.org
- {BLOCKED}ic.com
- {BLOCKED}ldonhotel.co.uk
- {BLOCKED}j.or.jp
- {BLOCKED}gor.co.kr
- {BLOCKED}h.info
- {BLOCKED}7.{BLOCKED}lwaves.co.nz
- {BLOCKED}uelandsonscarpetcleaning.net
- {BLOCKED}antralaya.com
- {BLOCKED}t.com
- {BLOCKED}eware.com
- {BLOCKED}ussiecologia.com
- {BLOCKED}ne.com
- {BLOCKED}asarch.com
- {BLOCKED}yshorr.com
- {BLOCKED}ron.com
- {BLOCKED}bridge.com.au
- {BLOCKED}mart.com
- {BLOCKED}xllinia.com
- {BLOCKED}lodge.com
- {BLOCKED}p.com
- {BLOCKED}sflorist.com
- {BLOCKED}s.mail.ru
- {BLOCKED}ecenter.com
- {BLOCKED}eller.com.au
- {BLOCKED}a67.com
- {BLOCKED}gurus.com
- {BLOCKED}en.com
- {BLOCKED}iecurtiss.com
- {BLOCKED}eralsoft.ro
- {BLOCKED}gineering.com
- {BLOCKED}i.net.pl
- {BLOCKED}ve.org
- {BLOCKED}rit.com
- {BLOCKED}a-koi.com
- {BLOCKED}k.com
- {BLOCKED}l.com
- {BLOCKED}e.net
- {BLOCKED}ch.com
- {BLOCKED}tech.com.au
- {BLOCKED}dholidayparade.com
- {BLOCKED}land.com
- {BLOCKED}itbeach.com
- {BLOCKED}megamefeeders.com
- {BLOCKED}net.net
- {BLOCKED}unity-inc.com
- {BLOCKED}s.org
- {BLOCKED}yporras.com
- {BLOCKED}sulting.com
- {BLOCKED}tivini.com
- {BLOCKED}indy.com
- {BLOCKED}elphiatheatrecompany.org
- {BLOCKED}raphe-31.com
- {BLOCKED}oldie.com
- {BLOCKED}ionglass.com
- {BLOCKED}rhotels.co.za
- {BLOCKED}uctions.com
- {BLOCKED}ypunch.com
- {BLOCKED}ytng.com
- {BLOCKED}tackwarehouse.com.au
- {BLOCKED}ndgroup.com
- {BLOCKED}efield.co.uk
- {BLOCKED}ft.ru
- {BLOCKED}rs.co.il
- {BLOCKED}ng.net
- {BLOCKED}formatica.net
- {BLOCKED}e.com
- {BLOCKED}b.net
- {BLOCKED}fg.com
- {BLOCKED}ign.com
- {BLOCKED}berg.com
- {BLOCKED}hi-jp.com
- {BLOCKED}scorpion.com
- {BLOCKED}ans.com
- {BLOCKED}tch.com
- {BLOCKED}textile.com
- {BLOCKED}mic.com
- {BLOCKED}derantwih.com
- {BLOCKED}ishikawa.com
- {BLOCKED}escorp.com
- {BLOCKED}xp.com
- {BLOCKED}g.net
- {BLOCKED}ns-huynh.org
- {BLOCKED}t.com.pl
- {BLOCKED}eloans.com
- {BLOCKED}p.lt
- {BLOCKED}p.live.com
- {BLOCKED}ystem.com
- {BLOCKED}dorganizing.com
- {BLOCKED}linksgolf.com
- {BLOCKED}npower.com
- {BLOCKED}rewspres.com
- {BLOCKED}m.nl
- {BLOCKED}son.com
- {BLOCKED}ster.com
- {BLOCKED}shoes.com
- {BLOCKED}tufi.com
- {BLOCKED}n.com
- {BLOCKED}ng-video.com
- {BLOCKED}avis.com
- {BLOCKED}e-sinai.net
- {BLOCKED}ak.org
- {BLOCKED}ofhair.com
- {BLOCKED}ospas.com
- {BLOCKED}elnet.com
- {BLOCKED}oloft.com
- {BLOCKED}ntinghouseltd.co.uk
- {BLOCKED}is.nl
- {BLOCKED}trading.it
- {BLOCKED}ukai.com
- {BLOCKED}lbible.org
- {BLOCKED}abogados.com
- {BLOCKED}meuse.com
- {BLOCKED}lgroup.com
- {BLOCKED}lau.com
- {BLOCKED}ino.org
- {BLOCKED}ls.com
- {BLOCKED}o.net
- {BLOCKED}separator.ch
- {BLOCKED}rspring.com
- {BLOCKED}o.com
- {BLOCKED}u.org
- {BLOCKED}owder.com
- {BLOCKED}mrukleme.com
- {BLOCKED}dn.org
- {BLOCKED}edu.bo
- {BLOCKED}aproject.com
- {BLOCKED}value.com
- {BLOCKED}r.by
- {BLOCKED}d.com
- {BLOCKED}ypublicsafety.com
- {BLOCKED}ues.com
- {BLOCKED}ingcenter.org
- {BLOCKED}isp.com
- {BLOCKED}f.{BLOCKED}ana.gov
- {BLOCKED}r.com
- www.{BLOCKED}oodmetalworks.com
- www.{BLOCKED}ex.pl
- www.{BLOCKED}cope.com
- www.{BLOCKED}nnect.co.za
- www.{BLOCKED}center.com
- www.{BLOCKED}ush.com
- {BLOCKED}ywacze.com.pl
- {BLOCKED}salt.com
- {BLOCKED}eh.ru
- {BLOCKED}orlandogetaway.com
- {BLOCKED}.net
- {BLOCKED}a.com.mx
- {BLOCKED}c.com
- {BLOCKED}net.co.jp
- {BLOCKED}er.us
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ryxrezulmebc = "%User Profile%\ryxrezulmebc.exe"
- ryxrezulmebc = "%User Profile%\ryxrezulmebc.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- {random numbers} = "{random values}"
- {random numbers} = "{random values}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- AppManagement = "{random values}"
- AppManagement = "{random values}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- {random numbers} = "{random values}"
- {random numbers} = "{random values}"
- In HKEY_CURRENT_USER\Software\WinRAR
- HWID = "{random values}"
- HWID = "{random values}"
手順 4
以下のフォルダを検索し削除します。
- %Application Data%\Microsoft\Crypto
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_PUSHDO.YQ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください