BKDR_DEMTRAN.SM
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、「TROJ_ADOBFP.SMA」によって作成され、コンピュータに侵入します。
マルウェアは、特定のレジストリ値を調べることにより、プロキシサーバが有効になっているかを確認します。
マルウェアは、特定のWebサイトおよび不正なサーバに接続し、不正リモートユーザからのコマンドを待機します。
マルウェアは、感染コンピュータから特定の情報を収集します。
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_ADOBFP.SMA
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}2.{BLOCKED}3.82.99
情報えい
マルウェアは、感染コンピュータから以下の情報を収集します。
- ユーザ名
- ホスト名
- IPアドレス
- Windowsのバージョン
その他
マルウェアは、以下のレジストリ値を調べることにより、プロキシサーバが有効になっているかを確認します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyServer
マルウェアは、以下のHTTP GETリクエストを介してリモートサーバへ接続します。
- {BLOCKED}2.{BLOCKED}3.82.99\AES{random}O{encrypted data}.jsp?{encrypted data}
また、マルウェアは、以下のサーバに接続します。
- {BLOCKED}2.{BLOCKED}3.82.99\SUS{random}O{random}.jsp?{encrypted data}
- {BLOCKED}2.{BLOCKED}3.82.99\SEU{random}O{random}.jsp?{encrypted data}
- {BLOCKED}2.{BLOCKED}3.82.99\ZES{random}O{random}.jsp?{encrypted data}
- {BLOCKED}2.{BLOCKED}3.82.99\PES{random}O{random}.jsp?{encrypted data}
マルウェアは、サーバへ接続すると、以下のコマンドを待機します。
- exit (マルウェアのプロセスの終了)
- put (ファイルのダウンロード)
- sleep(実行の一時停止)
- dos (特定のコマンドの実行)
- run (プロセスの追加)
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「BKDR_DEMTRAN.SM」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_DEMTRAN.SM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください