TROJ_BAYROB.KSV
TrojanSpy:Win32/Nivdort!rfn (Microsoft), W32/Bayrob.X!tr (Fortinet), a variant of Win32/Bayrob.Y (ESET-NOD32)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\dttakby.exe
- %System%\ofctseaz.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
マルウェアは、以下のフォルダを作成します。
- %System%\ajmqgsznfqo
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Enumerator Port Identity Security System = "%System%\dttakby.exe"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
ImagePath = "%System%\dttakby.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
DisplayName = "Awareness Desktop Security WMI Transaction"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
Start = "2"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_AWARENESS_DESKTOP_SECURITY_WMI_TRANSACTION
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
HOSTSファイルの改変
マルウェアは、以下のディレクトリにあるHOSTSファイルを改変します。
- %System%\drivers\etc\host (Windows 2000、XP、Server 2003の場合)