BKDR_ARUGIZER.A
Windows 98, ME, NT, 2000, XP, Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
マルウェアは、ポートを開き、不正リモートユーザからのコマンドを待機します。 マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
インストール
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- liuhong-061120
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\R
Arucer = rundll32 %System%\Arucer.dll,Arucer
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\rundll32.exe = System%\rundll32.exe:*:Enabled:Run a DLL as an App
バックドア活動
マルウェアは、以下のポートを開き、不正リモートユーザからのコマンドを待機します。
- 7777
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Delete file
- Create file
- Download and execute files
- Modify a certain registry entry
- Retrieve drive information
- Retrieve directory listing from the affected machine
- Upload file
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Arucer = rundll32 %System%\Arucer.dll,Arucer
- Arucer = rundll32 %System%\Arucer.dll,Arucer
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\rundll32.exe = %System%\rundll32.exe:*:Enabled:Run a DLL as an App
- %System%\rundll32.exe = %System%\rundll32.exe:*:Enabled:Run a DLL as an App
手順 4
以下のファイルを検索し削除します。
- Arucer.dll
ご利用はいかがでしたか? アンケートにご協力ください