ZEGOST
Bjlog, Graftor
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %System%\mmd.exe
- %Program Files%\%SESSIONNAME%\{random characters}.cc3
- %System%\{random characters}.rdb
- %Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%\fupmj.cc3
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\{random}
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のフォルダを作成します。
- %Program Files%\%SESSIONNAME%
- %Application Data%\Systems
- %Application Data%\Systems\ACDSee
- %Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
seRVicemAIN = "NPGetResourceParent"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
seRVicedlL = "%Program Files%\%SESSIONNAME%\{random characters}.cc3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ\Parameters
seRVicemAIN = "NPGetResourceParent"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70
ImagePath = "%System%\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70\Parameters
serviceDlL = "%Application Data%\Systems\ACDSee\Igebo.ddf%SESSIONNAME%\fupmj.cc3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_HIDSERV\
0000
Service = "HidServ"
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Comhidserv70
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_HIDSERV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
ErrorControl = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ\Parameters
ServiceDll = "%Program Files%\%SESSIONNAME%\{random characters}.cc3"
(註:変更前の上記レジストリ値は、「%System%\hidserv.dll」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
Start = "2"
(註:変更前の上記レジストリ値は、「4」となります。)
マルウェアは、以下のレジストリ値を削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\HidServ
DependOnService = "RpcSs"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- news.{BLOCKED}o.com
- music.{BLOCKED}rj.com
- dm.{BLOCKED}its.com
- wel.{BLOCKED}college.net