 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Medbot.CD バックドアが実行されると、バックドアは次のファイル名を使って自分自身を
%system% へコピーします。
このファイルは、次のプロセスのスレッドとして実行されます。
バックドアは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"
.nvsvc" = "%system%\smss.exe /w" |
さらに、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"
Start" = "4" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"
%system%\smss.exe" = "%system%\smss.exe:*:Enabled:Microsoft
Update"
|
これは、自動更新サービスを抑止します。Windows ファイアウォールの設定で例外を加えることにより、バックドアはブロックされないようにします。
■その他の情報
バックドアは、IRCネットワークに接続し、リモートで制御することができるようになります。さらに、インターネットからファイルをダウンロードし、ダウンロードしたファイルを実行します。
|
