BKDR_DLOADER.KDS

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、ダウンロードする機能を備えていません。

マルウェアは、情報収集する機能を備えていません。

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• TROJ_DROPPR.KDS

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download a file
• Execute downloaded file
• Get URL to download
• Sleep for 5 seconds
• Start a remote command prompt
• Delete itself, remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run taskday, and exit

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://nec.{BLOCKED}4.com/a.php?id={random characters}
• http://nec.{BLOCKED}4.com/b.php?id={random characters}
• http://nec.{BLOCKED}4.com/c.php?id={random characters}
• http://nec.{BLOCKED}4.com/d.php?id={random characters}
• http://nec.{BLOCKED}4.com/e.php?id={random characters}
• http://nec.{BLOCKED}4.com/f.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/a.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/b.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/c.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/d.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/e.php?id={random characters}
• http://{BLOCKED}.{BLOCKED}.202.197/f.php?id={random characters}

ダウンロード活動

マルウェアは、ダウンロードする機能を備えていません。

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアが実行するコマンドは以下のとおりです。

• ファイルのダウンロード
• ダウンロードしたファイルの実行
• ダウンロードのためのURLの取得
• 5秒間のスリープ
• リモートコマンドプロンプトの開始
• 自身を削除、レジストリ「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run taskday」の削除、および終了

マルウェアは、以下のWebサイトにアクセスし、インターネット接続を確認します。

• http://{BLOCKED}srv.trueidc.com/jp/0323/index.asp

マルウェアは、受信するコマンドを以下として保存します。

• %User Temp%\temp.ini

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。.)

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。