BKDR_PLUGX.AG

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このマルウェアは実行されます。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\Documents and Settings\All Users\SxS\bug.log
• %System Root%\Documents and Settings\All Users\SxSq\rc.exe
• %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
• %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
• %User Temp%\{random number}.exe
• %User Temp%\2.doc

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、以下のフォルダを作成します。

• %System Root%\Documents and Settings\All Users\SxS
• %System Root%\Documents and Settings\All Users\SxSq

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このマルウェアは実行されます。

自動実行方法

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}ee.{BLOCKED}-show.org