別名:

Bifrose

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい


  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, ファイルおよびプロセスの隠ぺい

インストール

マルウェアは、以下のファイルを作成します。

  • %Program Files%\MSNZONE\msos.dat
  • %System%\Systems.exe\klog.dat

(註:%Program Files%は、標準設定では "C:\Program Files" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\MSNZONE\msnzone.exe
  • %System%\Bifrost\server.exe
  • %System%\Systems.exe\usnsvcc.exe
  • %System%\reader_s.exe
  • %User Profile%\reader_s.exe

(註:%Program Files%は、標準設定では "C:\Program Files" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %Program Files%\MSNZONE
  • %System%\Systems.exe
  • %System%\Bifrost

(註:%Program Files%は、標準設定では "C:\Program Files" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
reader_s = "%User Profile%\reader_s.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
reader_s = "%System%\reader_s.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{7F4D8324-5900-2C20-FB03-FAA51F3FC4F5}
stubpath = "%Program Files%\MSNZONE\msnzone.exe s"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
stubpath = "%System%\Systems.exe\usnsvcc.exe s"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
stubpath = "%System%\Bifrost\server.exe s"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\MSNZONE

HKEY_LOCAL_MACHINE\SOFTWARE\MSNZONE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{7F4D8324-5900-2C20-FB03-FAA51F3FC4F5}

HKEY_CURRENT_USER\Software\Bifrost

HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}erver.ru
  • googlenews.{BLOCKED}s.com
  • usurpname.{BLOCKED}p.org
  • hackerfatal.{BLOCKED}p.org