■侵入(インストレーション)について
ウイルスが実行されると、次の場所に自分自身をコピーします。
|
%windir%\system\bot1.exe
|
ウイルスは、システムが開始されるごとに実行できるよう、次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%system%\userinit.exe,%windir%\system\bot1.exe" |
次のレジストリが登録されます。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\BN1]
"G" = "%variable1%"
"AN" = "%variable2%"
"UA" = "%variable3%"
"UA_" = "%variable4%"
%variable1-4%は、可変の文字列が入ります。 |
■実行ファイルへの感染方法
Win32/Botgor.B ウイルスは、ファイル感染型のウイルスです。
このウイルスは、次の拡張子を持つ実行ファイルを探します。
|
.exe |
感染したファイルは、次のフォルダに保存されます。
|
%program files% |
以下のファイルに感染します。
|
%windir%\system32\cleanmgr.exe
%windir%\system32\dxdiag.exe
%windir%\system32\msconfig.exe
%windir%\system32\regedit.exe
%windir%\system32\sol.exe
%windir%\system32\spider.exe
%windir%\system32\taskmgr.exe
%windir%\system32\sndrec32.exe
%windir%\system32\mspaint.exe
%windir%\system32\write.exe
%windir%\system32\notepad.exe
%windir%\system32\calc.exe |
感染したファイルが実行されると、元の実行ファイルが再構成されます。
■その他の情報
ウイルスは、リモートコンピュータもしくはインターネットからデータや命令が送られます。
このウイルスは、ある特定のインターネットサイトに対して、人工的にトラフィックを生成するように設計されています。
このウイルスは、サイトのアクセスカウンターを増加させるために、バナー広告をクリックするようなHTTPリクエストを送信します。
このウイルスは、以下のメッセージを表示します。
このウイルスは、インターネットからファイルをダウンロードします。ダウンロードしたファイルは %windir% フォルダに次の名前を使って保存されます。
|
bot1_update.exe |
ウイルスは、%windir%\bot1_update.exe を %windir%\system\bot1.exe としてコピーする場合があります。
このウイルスは、3つのURLを含んでいます。
次の情報を取得します。
|
・マルウェアのバージョン情報
・標準のインターネットブラウザーの情報 |
このウイルスはリモートホストにHTTPプロトコルを使用して情報を送信します。 |