BKDR_AGENT.DZW

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

• %system%\msinet.ocx
• %system%\MSWINSCK.OCX

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = {malware path and file name}

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InetCtls.Inet

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InetCtls.Inet.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MSWinsock.Winsock

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MSWinsock.Winsock.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{39977C62-C383-463D-AF61-C71220634656}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{48E59293-9880-11CF-9754-00AA00C00908}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6E5311A1-325D-4FFD-9AF4-B373F02AE458}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{E2D211D5-11E4-4D9E-B6DB-1E902C851A49}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{48E59291-9880-11CF-9754-00AA00C00908}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\ActiveX Compatibility\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\ActiveX Compatibility\{39977C62-C383-463D-AF61-C71220634656}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\ActiveX Compatibility\{48E59293-9880-11CF-9754-00AA00C00908}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}ndns.org/xampp/ip.php