TROJ_SIREF64.SM
Trojan:Win64/Sirefef.M (Microsoft), Trojan.Zeroaccess (Symantec), ZeroAccess (NAI), Mal/ZAccess-AB (Sophos), Backdoor.Agent.ABEA (FSecure), Trojan.Win32.Generic!BT (Sunbelt), Backdoor.Agent.ABEA (BitDefender), Trojan.Zeroaccess-458 (Clamav), W64/Sirefef.W (Fortinet), Trojan.Win64 (Ikarus), Win64/Sirefef.W trojan (NOD32), Trojan ZAccess.KZH (Norman)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに利用されるファイルとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
詳細
侵入方法
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
マルウェアは、他のマルウェアに利用されるファイルとしてコンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Local Settings\Application Data\{CLSID}
- %User Profile%\Local Settings\Application Data\{CLSID}\U - where the executable component is drop by the main component.
- %User Profile%\Local Settings\Application Data\{CLSID}\@ - where the configuration component is drop by the main component.
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
バックドア活動
マルウェアは、以下のポートを開きます。
- TCP 16465
- UDP 1288
その他
マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。