BKDR_IRCBOT.BTG
Backdoor:Win32/IRCbot.gen!S (Microsoft), Trojan.Dropper (Symantec), W32/Sdbot.worm!g (McAfee), Backdoor.Win32.IRCBot.ixx (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\system\msentale.exe
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ImagePath = "%Windows%\system\msentale.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
DisplayName = "Microsoft Security"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Description = "Microsoft Security"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
他のシステム変更
マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\system\msentale.exe = "%Windows%\system\msentale.exe:*:Enabled:Microsoft Enabled"