BKDR_SASFIS.EVL

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、イベントを作成します。

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• JAVA_RHINO.AE

インストール

マルウェアは、以下のプロセスを追加します。

• svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\run
tpbar = "%System%S\tpframe.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}a.suroot.com

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• ravmond.exe
• ccenter.exe
• ravtask.exe
• op_mon.exe
• 360tray.exe
• pctstray.exe
• avp.exe
• vvserv.exe
• v3ltray.exe
• v3svc.exe
• ccsvchst.exe
• mcagent.exe
• avguard.exe

その他

マルウェアは、以下のイベントを作成します。

• I62RAW!

マルウェアは、以下のコンポーネントを作成し、実行します。

• %System%\resdr32.sys - 「RTKT_SASFIS.EVL」として検出

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)

マルウェアは、作成したファイルを実行し、その後削除します。

マルウェアは、自身の感染を通知するため、以下のシステム情報を収集し、コマンド＆コントロール（C&C）サーバに送信します。

• コンピュータ名
• オペレーティングシステム（OS）の相手先ブランド製造(OEM)のコードページ識別子
• ユーザ名

これらの情報は、暗号化されたフォーマットで送信されます。

マルウェアは、以下のコマンドを実行する機能を備えています。

• ファイルのダウンロードおよび実行
• 以下の拡張子を持つファイルの検索
  • .DOCX
  • .PPTX
  • .XLSX
• 自身の更新