Win32/Bayrob.BK
公開日:2016年03月17日
危険度:4
| 定義名称 | Win32/Bayrob.BK |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Bayrob.BK |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Bayrob.BKの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン12897(20160120)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | これは、リモートからコントロール可能なバックドア型のトロイの木馬です。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%installfolder%\frqjq2%variable%mlvk5atfg.exe
%installfolder%\gnbrvgzbgh.exe
%installfolder%\bbixevk.exe
%installfolder%は次の文字列のいずれかになります。
%windir%\system32\rpitpgtroluqmvy
%windir%\rpitpgtroluqmvy
%userprofile%\Local Settings\Application Data\rpitpgtroluqmvy
%userprofile%\AppData\Local\rpitpgtroluqmvy
%temp%\rpitpgtroluqmvy
%temp%
%variable%には可変の文字列が入ります。
次の名前を使用して自身をシステムサービスとして登録します。
Machine Tracking Audio AuthIP Health
これにより、システムが起動するたびに実行されるようになります。
次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Group Peer Power Layer User-mode" = "%installfolder%\gnbrvgzbgh.exe"
これにより、システムが起動するたびに実行されるようになります。
次のファイルを作成する場合があります。
%temp%\frqjq2%variable%mlvk5atfg.exe (35328 B, Win32/MiniUPnP.C)
このファイルを実行します。
次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
"FirewallOverride" = 1
"AntiVirusDisableNotify" = 1
"AntiVirusOverride" = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Svc]
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"AntiVirusDisableNotify" = 1
"AntiVirusOverride" = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips" = 1
[HKEY_USERS\%user%\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\%variable%]
"*" = 2
%variable%には可変の文字列が入ります。
次のプロセスを停止させる場合があります。
bbixevk.exe
firefox.exe
iexplore.exe
opera.exe
seamonkey.exe
flock.exe
netscape.exe
mozilla.exe
safari.exe
maxthon.exe
aolbrowser.exe
aoltpsd3.exe
■その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
11のURLを保持しています。さまざまなURLを生成します。
通信にはP2Pネットワーク、およびTCPプロトコルとHTTPプロトコルが使用されます。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
実行中のプロセスの一覧をリモートのコンピューターに送信する
収集した情報を送信する
自身をバージョンアップする
ネットワークトラフィックをリダイレクトする
ネットワークトラフィックを改ざんする
スパムメールを送信する
プロキシサーバーを設定する
プロキシサーバーの設定を変更する
スクリーンショットを作成する
CPUの情報を取得する
いくつかのTCPポートを開きます。
次のファイルを改ざんする場合があります。
%windir%\system32\drivers\etc\hosts
次のファイルにあるさまざまな情報を保持します。
%installfolder%\run
%installfolder%\tst
%installfolder%\lck
%installfolder%\upd
%installfolder%\rng
%installfolder%\srv
%installfolder%\cli
%installfolder%\cfg
%installfolder%\por
%installfolder%\end0003
次の偽のエラーメッセージを表示します。
