BKDR_REMOSH.SML

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下のファイルを作成します。

• %System%\{random file name}.dll - detected as BKDR_REMOSH.SMF

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、不正プログラムが、サービスに関連したネットワークを列挙するために、以下のレジストリキーを問い合せます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\ netsvcs

マルウェアが利用する「NETSVCS」における既定のサービスは、以下のとおりとなります。

• 6to4
• AeLookupSvc
• AppInfo
• AppMgmt
• AudioSrv
• BDESVC
• BITS
• Browser
• CertPropSvc
• CryptSvc
• DHCP
• DMServer
• ERSvc
• EapHost
• EventSystem
• FastUserSwitchingCompatibility
• HidServ
• IKEEXT
• Ias
• Iprip
• Irmon
• LanmanServer
• LanmanWorkstation
• LogonHours
• MMCSS
• Messenger
• NWCWorkstation
• Netman
• Nla
• Ntmssvc
• Nwsapagent
• PCAudit
• ProfSvc
• Rasauto
• Rasman
• Remoteaccess
• SCPolicySvc
• SENS
• SRService
• Schedule
• Seclogon
• SessionEnv
• Sharedaccess
• ShellHWDetection
• Tapisrv
• TermService
• Themes
• TrkWks
• W32Time
• WZCSVC
• WmdmPmSN
• WmdmPmSp
• Wmi
• browser
• gpsvc
• helpsvc
• hkmsvc
• iphlpsvc
• lanmanserver
• msiscsi
• napagent
• schedule
• seclogon
• uploadmgr
• wercplsupport
• winmgmt
• wscsvc
• wuauserv
• xmlprov

以下のレジストリキーが存在する場合、マルウェアは、検索したサービス名を確認します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

サービスが存在しない場合、マルウェアは、作成したDLLファイルのサービス名として「Network Management」を利用します。そして作成されたDLLファイルが実行されると、このマルウェアを削除します。

「NETSVCS」においてサービス名がすべて存在している場合、以下のサービス名を利用します。

• Network Management

これは、トレンドマイクロの製品において、「HKTL_REMOSH」によって作成されるマルウェアとして検出されます。