Trend Micro Security

BKDR_REDOSD.SMX

2013年12月19日
 解析者: Mark Joseph Manahan   
 更新者 : Jimelle Monteser
 別名:

Backdoor:Win32/Zegost.B (Microsoft), BackDoor-EMA.gen.b (McAfee), Backdoor.Trojan (Symantec)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、他のマルウェアのコンポーネントです。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、ダウンロードする機能を備えていません。

  詳細

ファイルサイズ 23,095,486 bytes
タイプ DLL
メモリ常駐 はい
発見日 2013年5月27日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • TROJ_BJLOG.VG

インストール

マルウェアは、他のマルウェアのコンポーネントです。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • www.{BLOCKED}maopao.com
  • {BLOCKED}9.8800.org
  • {BLOCKED}1.3322.org:8086
  • {BLOCKED}2.3372.org:91

ダウンロード活動

マルウェアは、ダウンロードする機能を備えていません。

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

  • Get System Information
  • Get Drive Information
  • Get Volume Information
  • File Manipulation
  • Record Audio
  • Display MessageBox
  • Control Mouse, Keyboard and clipboard activity
  • Registry and Service Manipulation
  • Establish Remote Desktop Connection
  • Manage Service
  • Enable Local System Privilege
  • Enable Network System Privilege
  • Manage Registries
  • Get Processor Information
  • Perform Remote Shell

マルウェアが備える機能は以下のとおりです。

  • システム情報の取得
  • ドライブ情報の取得
  • ボリューム情報の取得
  • ファイルの操作
  • 音声の記録
  • 受信箱の表示
  • マウス、キーボードおよびクリップボードの活動の制御
  • レジストリおよびサービスの操作
  • リモートデスクトップ接続の確立
  • サービスの管理
  • ローカルシステム権限の有効化
  • ネットワークシステム権限の有効化
  • レジストリの管理
  • プロセッサ情報の取得
  • リモートシェルの実行

マルウェアは、以下のWebサイトをブロックします。

  • um<ランダム>.eset.com
  • u<ランダム>.eset.com.cn
  • exp<ランダム>.eset.com
  • 08update<ランダム>.jiangmin.com
  • update<ランダム>.jiangmin.com
  • downloads<ランダム>.kaspersky-labs.com
  • cs<ランダム>.duba.net
  • cu0<ランダム>.www.duba.net
  • rsup<ランダム>.rising.com.cn
  • dnl-<ランダム>.geo.kaspersky.com
  • iau.trendmicro.com.cn
  • ll002.avast.com
  • liveupdate.symantecliveupdate.com
  • mmi.explabs.net
  • gtm-hkg.avg.com
  • gtm-self.avg.com
  • gtm-nyc.avg.com
  • gtm-tnt.avg.com
  • guru.avg.com
  • update.nai.com
  • support.eset.com.cn
  • kaspersky.fastcdn.com
  • rsdownauto.rising.com.cn
  • reportq.rising.com.cn
  • msginfo.rising.com.cn
  • rsdownload.rising.com.cn
  • z.rising.com.cn
  • www.rising.com.cn hd.duba.net
  • api.pc120.com
  • f-signs.duba.net
  • vi.pc120.com
  • ifr.duba.net
  • www.duba.net
  • push.www.duba.net
  • vc01.beike.cn
  • www.beike.cn
  • f-sq.beike.cn
  • bo.duba.net
  • antispy.db.kingsoft.com
  • softm-s.update.360safe.com
  • softm.update.360safe.com
  • www.360safe.com
  • www.360.cn
  • dl.qh-lb.com
  • dl.360safe.com
  • sdl.360safe.com
  • stat.sd.360.cn
  • w.360.cn
  • updateh.360safe.com
  • tr.p.360.cn update-s.360safe.com
  • update.360safe.com
  • stat-s.360safe.com
  • stat.360safe.com
  • qd.code.qihoo.com
  • qd.code.360.cn
  • sdupm.360.cn
  • sdup.qh-lb.com
  • sdup.360.cn
  • qup.qh-lb.com
  • qurl.qh-lb.com
  • qurl.f.360.cn
  • u.qurl.f.360.cn
  • qup.f.360.cn
  • conf.f.360.cn
  • 220.181.126.7
  • 124.238.243.51
  • 221.194.142.98
  • 125.39.100.74

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 9.944.05
初回 VSAPI パターンリリース日 2013年5月27日
VSAPI OPR パターンバージョン 9.945.00
VSAPI OPR パターンリリース日 2013年5月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「BKDR_REDOSD.SMX」を作成またはダウンロードする不正なファイルを削除します。

  • TROJ_BJLOG.VG

手順 3

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_REDOSD.SMX」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください