ウイルス情報

ウイルス名 危険度

Generic BackDoor.u

企業ユーザ: 中
個人ユーザ: 中
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4461
対応定義ファイル
(現在必要とされるバージョン)
6963 (現在7628)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Microsoft - PWS:Win32/Fareit Symantec - Downloader.Ponik Nod32 - Win32/PSW.Fareit.A trojan Norman - W32/Troj_Generic.FZZFL (trojan) Fortinet - W32/Injector.HXK!tr Microsoft - VirTool:Win32/CeeInject.gen!DZ Symantec - Trojan.ADH.2 Norman - W32/Suspicious_Gen2.SOZSL Trend - BKDR_FAKETM.XL Avast - Win32:Crypt-NRY Symantec - Downloader.Dromedan Ikarus - Backdoor.Win32.Androm Microsoft - Worm:Win32/Gamarue.I Avast - Win32:Jorik-HN [Trj] Microsoft - TrojanDownloader:Win32/Cutwail.BQ NOD32 - Win32/Wigon.OW Kaspersky - Trojan.Win32.Jorik.Totem.ij Kaspersky - HEUR:Trojan.Win32.Generic Symantec - W32.Cridex Ikarus - Trojan-Dropper.UGS Microsoft - VirTool:Win32/CeeInject AVG - Cryptic.AGD Kaspersky - Packed.Win32.Krap.ai NOD32 - a variant of Win32/Kryptik.ENI Ikarus - Packed.Win32.Krap Microsoft - Trojan:Win32/Sisron Kaspersky - Trojan.Win32.Jorik.Androm.km NOD32 - Win32/TrojanDownloader.Wauchos.A Sophos - Troj/Backdr-GL Avira - WORM/Rbot.Gen NOD32 - a variant of Win32/ServStart.AX Kaspersky - Trojan.Win32.Scar.gaxl Microsoft - Trojan:Win32/ServStart.A AVG - Generic22.CMYN Symantec - Trojan.Gen Ikarus - Trojan.Win32.Diple Kaspersky - Trojan.Win32.Diple.py Kaspersky - Worm.Win32.AutoIt.xl NOD32 - Win32/Tifaut.B Ikarus - Worm.Win32.AutoIt Microsoft - Worm:Win32/Renocide.gen!A Kaspersky - Trojan.Win32.Buzus.ckem NOD32 - Win32/AutoRun.IRCBot.DI Ikarus - Trojan.Win32.Buzus Microsoft - Worm:Win32/Pushbot.OJ AVG - Generic20.BCXN TrendMicro - BKDR_POSTBOT.ER Symantec - Trojan.Gen.2 Microsoft - Trojan:Win32/Dynamer!dtc Kaspersky - Backdoor.Win32.Poison.bxst Symantec - Backdoor.Trojan Ikarus - Backdoor.Win32.Poison Microsoft - Backdoor:Win32/Poison.M Fortinet - HackerTool/ZXProxy Kaspersky - not-a-virus:NetTool.Win32.ZXProxy.mh Microsoft - Backdoor:Win32/Delf.B Symantec - Infostealer AVG - BackDoor.Generic13.QSP GData - Gen:Variant.Kazy.3089 Microsoft - Backdoor:Win32/Poison.M Panda - Trj/CI.A
情報掲載日 2012/08/10
発見日(米国日付) 2005/04/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Generic BackDoor.uはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

-- 2010年3月9日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://news.techworld.com/security/3214563/energizer-bunny-infects-pcs-with-backdoor-malware/

・Generic BackDoor.uはバックドアを開き、攻撃者がコマンドを発行して、乗っ取ったマシンを制御できるようにするトロイの木馬の総称です。Generic BackDoorの詳細はこちらを参照してください。

--2010年3月18日更新---

ファイル情報

  • MD5 - 90B1621E5F91B6B01787F6C9FE548DF7
  • SHA - 94D7701B5D51B9FC4361C3F9118D404F1BDD0DA7

--2010年2月11日更新---

ファイル情報

  • MD5 - D99D448CCE93024EFB620E3C920AED0A
  • SHA - D2897D4E122DD8104DE1FE352BCEB6402C34DE4C

--2010年1月19日更新---

ファイル情報

  • MD5 - 68127FF189D9F8C417DF84D9A035E5E9
  • SHA - 4618E4E1DB77DE3EA17074DBA106D3C8F35FFA60

--2010年12月21日更新---

・Generic BackDoor.uはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 19d85e165baaa5c03f7a7353ca98c9c4
  • SHA - 9085e30695784757ed90aa3bef3aa8af4f99703f

--2010年12月1日更新 ------

ファイル情報

  • MD5 : d1efd605c2c03d3b815a5cda0072a4c9
  • SHA1 : 9e5e0c23acfe11351f39e595a52a29044d59a0ee

--2010年11月17日更新 ------

・Generic BackDoor.uはバックドアを開き、攻撃者がコマンドを発行して、乗っ取ったマシンを制御できるようにするトロイの木馬の総称です。悪質なファイルをダウンロードする可能性があります。

ファイル情報

  • MD5 - AE4CE941DB9DB863CBF4F6C416A70C63
  • SHA - 6F48DA825D1017D838914121AA500825F3ED8407

TOPへ戻る

ウイルスの特徴

--2013年1月17日更新---

・「Generic BackDoor.u」は以下のアプリケーションに保存されているパスワード、キャッシュ、クッキーから情報を盗み出します。

  • 電子メールクライアント
  • ブラウザ
  • FTPクライアント

また、他のPWSの亜種を乗っ取ったマシンにダウンロードします。

実行時、リモート攻撃者がコマンドを発行して、乗っ取ったマシンを制御し、他のペイロードをダウンロードできるようにするため、リモートポート8080を介して以下のURLに接続しようとします。

  • hxxp://forum-voip[削除]080/ponyb/gate.php
  • hxxp://foru[削除]onyb/gate.php
  • hxxp://paralysi[削除]/ponyb/gate.php
  • hxxp://paralys[削除]080/ponyb/gate.php
  • hxxp://accesx[削除]Kv9.exe
  • hxxp://www.k[削除]uY3VZr.exe
  • hxxp://rankma[削除].com/XsuzdnC3.exe
  • 254.11[削除]192
  • 25[削除]8.192

分析時、上記のURLはダウンしていました。

以下のレジストリキー値がシステムに追加されます。

HKey_Current_Users\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass:1

上記のレジストリキーにより、プロキシ設定を無効にします。

HKEY_USERS\S-1-5-[不定]\Software\WinRAR\HWID: 7B 38 34 34 34 31 30 30 39 2D 43 35 45 35 2D 34 38 45 30 2D 41 42 46 46 2D 39 43 38 34 46 43 39 36 31 34 31 37 7D

以下の名前でMutexを作成します。

_!MSFTHISTORY!_

以下は感染したマシンから収集され、リモートポート80を介してリモート攻撃者に送信される情報です。

  • GetLocaleInfoA
  • GetUserNameA
  • gethostbyname
  • GetNativeSystemInfo
  • GetSystemInfo

以下のアプリケーションから保存されているパスワード、キャッシュ、クッキーを盗み出します。

  • Opera
  • Firefox
  • Internet Explorer
  • Google Chrome
  • Windows Live Mail
  • Thunderbird
  • Bromium
  • Nichrome
  • Comodo
  • RockMelt
  • Visicom Media
  • Chromium
  • Global Downloader
  • NetSarang
  • Cyberduck
  • Pocomail
  • BatMail

以下のパスワードリストを使って、サーバをハッキングしようとします。

  • password
  • phpbb
  • qwerty
  • jesus
  • abc123
  • letmein
  • test
  • love
  • password1
  • hello
  • monkey
  • dragontrustno1
  • iloveyou
  • shadow
  • christ
  • sunshine
  • master
  • computer
  • princess
  • tigger
  • football
  • angel
  • jesus1
  • whatever
  • freedom
  • killer
  • asdf
  • soccer
  • superman
  • michael
  • cheese
  • internet
  • joshua
  • fuckyou
  • blessed
  • baseball
  • starwars
  • purple
  • jordan
  • faith
  • summer
  • ashley
  • buster
  • heaven
  • pepper
  • hunter
  • lovely
  • andrew
  • thomas
  • angels
  • charlie
  • daniel
  • jennifer
  • single
  • hannah
  • qazwsx
  • happy
  • matrix
  • aaaaaa
  • amanda
  • nothing
  • ginger
  • mother
  • snoopy
  • jessica
  • welcome
  • pokemon
  • iloveyou1
  • mustang
  • helpme
  • justin
  • jasmine
  • orange
  • testing
  • apple
  • michelle
  • peace
  • secret
  • grace
  • william
  • iloveyou2
  • nicole
  • muffin
  • gateway
  • fuckyou1
  • asshole
  • hahaha
  • poop
  • blessing
  • blahblah
  • myspace1
  • matthew
  • canada
  • silver
  • robert
  • forever
  • asdfgh
  • rachel
  • rainbow
  • guitar
  • peanut
  • batman
  • cookie
  • bailey
  • soccer1
  • mickey
  • biteme
  • hello1
  • eminem
  • dakota
  • samantha
  • compaq
  • diamond
  • taylor
  • forum
  • john316
  • richard
  • mike
  • dallas
  • green
  • testtest
  • maverick
  • onelove
  • david
  • mylove
  • church
  • friend
  • god
  • destiny
  • none
  • microsoft
  • bubble
  • cocacola
  • jordan23
  • ilovegod
  • football1
  • loving
  • nathan
  • emmanuel
  • scooby
  • fuckoff
  • sammy
  • maxwell
  • jason
  • john
  • 1q2w3e4r
  • baby
  • red123
  • blabla
  • princeqwert
  • chelsea
  • angel1
  • hardcore
  • dexter
  • saved
  • hallo
  • jasper
  • danielle
  • kitten
  • cassie
  • stella
  • prayer
  • hotdog
  • windows
  • mustdie
  • gates
  • billgates
  • ghbdtn
  • gfhjkm
  • cryptimplus
  • samuel
  • blink182
  • pass

以下のFTPクライアントと上記のよく使われるパスワードのリストを使って、ユーザがアクセスしたサーバを検索し、ハッキングしようとします。

  • FileZilla
  • BulletProof FTP
  • SmartFTP
  • CuteFTP 6,7,8
  • CuteFTP Lite
  • CuteFTP Pro
  • COREFTP
  • TurboFTP
  • Robo-FTP 3.7
  • LinasFTP
  • FFFTP
  • FTP Explorer
  • ClassicFTP
  • Frigate3
  • VanDyke
  • FTPRush
  • LeapFTP
  • FTPHost
  • Ghisler
  • WinFTP
  • PuTTY

--2012年10月19日更新---

・「Generic Backdoor.u」はリムーバブルドライブを介して拡散するバックドアです。リモート攻撃者がコマンドを発行して、乗っ取ったマシンを制御し、他のペイロードをダウンロードできるようにするため、乗っ取ったマシンでバックドアサーバを開きます。ユーザにファイルを実行させるため、フォルダアイコンに似せたアイコンを使用します。

実行時、リモート攻撃者がコマンドを発行して、乗っ取ったマシンを制御し、他のペイロードをダウンロードできるようにするため、リモートポート5786を介して以下のURLに接続しようとします。

li381-250.members.li[削除]e.com

50.144.[削除].92

・実行時、以下の場所に自身をコピーします。

  • %AppData%\Microsoft\services884.exe
  • [リムーバブルドライブ]\AdobeReader
  • [リムーバブルドライブ]\AdobeReader\DSCI5829.jpg
  • [リムーバブルドライブ]\[フォルダ名].lnk
  • [リムーバブルドライブ]\AutoRun.inf

上記のようにリムーバブルドライブにファイルを作成する以外に、Generic BackDoor.uはディスクのフォルダを隠し、フォルダと同じ名前で自身をコピーし、このexeを使って、ユーザがフォルダを開こうとするたびにGeneric BackDoor.uを起動しようとします。また、ネットワーク共有を介して拡散しようとします。

また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

「AutoRun.inf」ファイルはGeneric BackDoor.uの実行ファイルを指しており、自動実行機能をサポートするマシンからリムーバブルドライブやネットワーク接続されたドライブがアクセスされると、Generic BackDoor.uが自動的に起動します。

autorun.infは以下のコマンド構文でGeneric BackDoor.uのファイルを起動するように設定されています。

[autorun]

icon=shell32.dll,4

open=AdobeReader\DSCI5829.jpg

shell\Explore=Explore

shell\Explore\command=AdobeReader\DSCI5829.jpg

shell=Explore

以下のレジストリキー値がシステムに追加されます。

HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher: %AppData%\Microsoft\services414.exe

HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher: %AppData%\Microsoft\services414.exe

HKey_Local_Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Adobe Reader Speed Launcher: %AppData%\Microsoft\services414.exe

上記のレジストリにより、Generic BackDoor.uがwinlogonエントリを乗っ取ったシステムに登録し、再起動のたびに自身を実行するようにします

また、再起動するメカニズムとして隠しフォルダをまねたリンクを使用します。これにより、ユーザがエクスプローラでフォルダを開こうとするたびに、Generic BackDoor.uが実行されます。

--2012年9月16日更新---

・「Generic Backdoor.u」は、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

実行時、以下のIPアドレスに接続しようとします。

  • 60.[削除]. 1.114

さらに、以下のURLに接続するため、以下のプロセスを「explorer.exe」に挿入します。

  • tw.[削除]ft.com
  • hk.[削除]ft.com

また、以下の場所に自身のコピーをドロップ(作成)します。

%WINDIR%\system32\SKRSteam.exe

以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MUmintry KRSteam" : Data:

%WINDIR%\system32:SKRSteam.exe

・「Generic Backdoor.u」は、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

実行時、以下のIPアドレスに接続しようとします。

  • 60.[削除]. 1.114

さらに、以下のURLに接続するため、以下のプロセスを「explorer.exe」に挿入します。

  • tw.[削除]ft.com
  • hk.[削除]ft.com

また、以下の場所に自身のコピーをドロップ(作成)します。

%WINDIR%\system32\SKRSteam.exe

以下のレジストリキー値がシステムに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MUmintry KRSteam" : Data:

%WINDIR%\system32:SKRSteam.exe

上記のレジストリにより、Generic Backdoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

--2012年8月28日更新---

・「Generic Backdoor.u」は、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。Generic Backdoor.uは通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったマシンを制御するコマンドを発行できる可能性があります。

実行時、以下の場所に自身をコピーします。

%AllUsersProfile%\svchost.exe

以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%Userprofile%\Desktop\Amazon-Order-Details.exe: "%Userprofile%\Desktop\Amazon-Order-Details.exe:*:Enabled:FeeblestTransits"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%Userprofile%\Desktop\Amazon-Order-Details.exe: "%Userprofile%\Desktop\Amazon-Order-Details.exe:*:Enabled:FeeblestTransits"

上記のレジストリにより、Generic Backdoor.uが通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched: ""%Programfiles%\Common Files\Java\Java Update\jusched.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched: "%AllUsersProfile%\svchost.exe"

上記のレジストリにより、Generic Backdoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

--2012年8月8日更新---

Generic Backdoor.uは、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

また、バックドアを開き、攻撃者が乗っ取ったマシンを制御するためのコマンドを発行できるようにします。

実行時、以下の場所に自身をコピーします。

  • %AllUsersProfile%\svchost.exe

以下のレジストリキー値がシステムに追加されます。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%UserProfile%\Desktop\Booking_Confirmation_08_2012.exe: "%UserProfile%\Booking_Confirmation_08_2012.exe:*:Enabled:Spear" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%UserProfile%\Desktop\Booking_Confirmation_08_2012.exe: "%UserProfile%\Desktop\Booking_Confirmation_08_2012.exe:*:Enabled:Spear"

上記のレジストリにより、Generic Backdoor.uが通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

以下のレジストリ値が改変されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched: ""%ProgramFiles%\Common Files\Java\Java Update\jusched.exe"" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched: "%AllUsersProfile%\svchost.exe"

以下のレジストリにより、Generic Backdoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

また、以下のコマンドを使ってターゲットコンピュータから情報を入手し、既存のスタートアップ項目を変更します。

GetStartupInfoA

--2012年6月8日更新---

Generic Backdoor.uは、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

実行時、以下のサイトに接続し、攻撃者からコマンドを受信しようとします。

  • Da[削除]at.com

また、SSLを使い、リモートポート443を介して以下のURLに接続しようとします。

  • Nay[削除]ld.com

また、以下のSMTPサーバに接続し、ポート25を介してリモート攻撃者に情報を受け渡そうとします。

  • M[削除]s.mail.ru
  • alt4.gm[削除]tp-in.l.google.com

実行時、以下の場所に自身をコピーします。

  • %Userprofile%\i8tbkyhau7.exe

上記のファイルはsvchost.exeにマップされ、攻撃者に送信する、乗っ取ったシステムに関する情報を収集します。

  • コンピュータ名
  • オペレーティングシステムのバージョンの詳細

以下のレジストリ値が追加されます。

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ i8tbkyhau7 = "%Userprofile%\i8tbkyhau7.exe"

上記のレジストリにより、Generic BackDoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

注: - [C:\Documents and Settings\All Users\ - %AllUsersprofile%, C:\DOCUME~1\Admin\LOCALS~1\Temp - %Temp%,C:\Documents and Settings\Admin\Application Data - %Appdata%,c: - %systemdrive%,C:\Documents and Settings\Administrator - %Userprofile%]

--2012年6月4日更新---

Generic Backdoor.uは、リモート攻撃者による感染したコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

また、バックドアを開き、攻撃者が乗っ取ったマシンを制御するためのコマンドを発行できるようにします。

実行時、Generic Backdoor.uはリモートポート8080から85.[削除].2040.32に接続しようとします。

さらに、以下のURLに接続するため、以下のプロセスをexplorer.exeに挿入します。

Arq[削除]r.com.br

以下のファイルをシステムにドロップ(作成)します。

  • %AppData%\KB01154634.exe
  • %Temp%\exp8.tmp

以下のレジストリキーが追加されます。

  • HKEY_USER\S-1-[不定]\Software\Microsoft\WSH
  • HKEY_USER\S-1-[不定]\Software\Microsoft\WSH\A782D5F0
  • HKEY_USER\S-1-[不定]\Software\Microsoft\WSH\EB87437A
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012061120120612
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell

以下のレジストリ値が追加されます。

  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\KB01154634.exe: ""%AppData%\KB01154634.exe""
  • HKEY_USER\S-1-[不定]\Software\Microsoft\WSH\EB87437A\: 08 5E 00 00 0A 00 00 00 1F 00 00 00 80 00 00 00 2A 74 72 65 61 73 75 72 79 70 61 74 68 77 61 79 73 2E 63 6F 6D 2A 00 1C 00 00 00 80 00 00 00 2A 43 6F 72 70 6F 72 61 74 65 41 63 63 6F 75 6E 74 73 2A 00 22 00 00 00 80 00 00 00 2A 77 65 62 6C 69 6E 6B 2E 77 65 62 73 74 65 72 62 61 6E 6B 2E 63 6F 6D 2A 00 24 00 00 00 80 00 00 00 2A 73 65 63 75 72 65 37 2E 6F 6E 6C 69 6E 65 61 63 63 65 73

また、以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory = "%windir%\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory = "%userprofile%\Local Settings\Temporary Internet Files\Content.IE5"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath: "%windir%\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath: "%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath: "%windir%\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath: "%userprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath: "%windir%\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath: "%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath: "%windir%\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath: "%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings: 3C 00 00 00 1B 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 80 7E 39 29 A0 31 C6 01 01 00 00 00 C0 A8 C7 96 00 00 00 00 00 00 00 00

以下のレジストリにより、Generic Backdoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
KB01154634.exe = ""%AppData%\KB01154634.exe""

乗っ取ったシステムの情報を収集し、攻撃者に送信します。

  • コンピュータ名
  • その他の情報

--2012年5月29日更新---

Generic Backdoor.uは、リモート攻撃者によるターゲットコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

以下のサイトに接続しようとします。

  • m[削除]ort.com
  • m[削除]ort.net

また、以下の悪質な活動を行う可能性があります。

  • 他の悪質なファイルのダウンロード
  • 攻撃者からのコマンドの受信

--2012年5月25日更新---

Generic Backdoor.uは、リモート攻撃者によるターゲットコンピュータへの無許可のアクセスと制御を可能にするトロイの木馬です。

実行時、以下の場所に自身をコピーします。

  • %Allusersprofile%\svchost.exe

以下のレジストリ項目が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    SunJavaUpdateSched = "%Allusersprofile%\svchost.exe"

上記のレジストリにより、Generic BackDoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。


--2012年3月30日更新---

・Generic BackDoor.uは攻撃者の感染コンピュータへの不正アクセス、制御を可能にするトロイの木馬です。

実行時、リモートポート8787を介して以下のサイトに接続します。

  • dd[削除]os.in
  • 9[削除]shi.com

上記のサイトに接続後、攻撃者からのコマンドを検索し、他の悪質なファイルをダウンロードします。

実行時、以下の場所に自身をコピーします。

  • %Windir%\system32\psdhsc.exe

以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_PROCEDURE_CALL_(RPCT)_DOMREMOTE_PROCEDURE_CALL_(RPCT)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_PROCEDURE_CALL_(RPCT)_DOMREMOTE_PROCEDURE_CALL_(RPCT)\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_PROCEDURE_CALL_(RPCT)_DOMREMOTE_PROCEDURE_CALL_(RPCT)\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Enum

以下のレジストリー値が追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Enum\0: "Root\LEGACY_REMOTE_PROCEDURE_CALL_(RPCT)_DOMREMOTE_PROCEDURE_CALL_(RPCT)\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Enum\Count: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Enum\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Security\Security: [Binary Number]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\ErrorControl: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\ImagePath: "%Windir%\system32\psdhsc.exe"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\DisplayName: "Remote Procedure Call (RPCT)"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Procedure Call (RPCT) DomRemote Procedure Call (RPCT)\ObjectName: "LocalSystem"

上記のレジストリ項目により、Generic BackDoor.uがサービスとして乗っ取ったシステムに登録され、Windowsが起動するたびに自身が実行されるようにします。

以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent\: 0x00000012
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000012
注 - [%WinDir% - C:\WINDOWS,

%UserProfile% - C:\Documents and Settings\[ユーザ名]


--2011年6月21日更新---

実行時、以下のファイルをドロップ(作成)します。

  • %Userprofile%\Start Menu\Programs\Startup\scandisk.lnk
  • %Userprofile%\Start Menu\Programs\Startup\scanndiskio92.dll
  • %Userprofile%\uload33.dll
  • %Systemdrive%\Documents and Settings\LocalService\uload33.dll
  • %Windir%\system32\uload33.dll
  • %Systemdrive%\scandisk.lnk
  • %Systemdrive%\scanndiskio92.dll

以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    "NvCplDaemonTool = "rundll32.exe C:\WINDOWS\system32\uload33.dll,_IWMPEvents"
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\]
    "NvCplDaemonTool = "rundll32.exe C:\DOCUME~1\LOCALS~1\uload33.dll,_IWMPEvents"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
    "NvCplDaemonTool = "rundll32.exe C:\DOCUME~1\ADMINI~1\uload33.dll,_IWMPEvents"
  • [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\]
    "NvCplDaemonTool = "rundll32.exe C:\DOCUME~1\LOCALS~1\uload33.dll,_IWMPEvents"

上記の項目により、Windowsが起動するたびにGeneric BackDoor.uが動作するようにします。

--2010年3月18日更新---

実行時、以下の場所に自身をコピーします。

  • %Windir%\system32\csrcs.exe

また、以下のファイルをドロップ(作成)します。

  • %Windir%\system32\autorun.inf
  • %Systemdrive%\khq

また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

「AutoRun.inf」ファイルはGeneric BackDoor.uの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、Generic BackDoor.uが自動的に起動されます。

autorun.infは以下のコマンド構文で、Generic BackDoor.uのファイルが起動するように設定されています。

;ceNSvxEzyuHeXrdqUmadoey

[AutoRun]

;IHZBiQniRDeueZYfynCLpGztYNlgEpEJHHcviQ

open=ecyuah.exe

;QaoqBzXlveKMuIHfsSr

shell\open\Command=ecyuah.exe

;tfqAexJLikKRVMrMmyaOZGwDpvqmXPZsHbHdXpwfiiRxXarivznudk

shell\open\Default=1

shell\explore\Command=ecyuah.exe

さらに、以下のWebサイトに接続して、ターゲットマシンのIPアドレスを入手します。

  • hxxp://www.whatismyip.com

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    "csrcs" = "%Windir%\system32\csrcs.exe"

上記のレジストリにより、Generic BackDoor.uがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
    "Shell" = "Explorer.exe csrcs.exe"

上記のレジストリにより、Generic BackDoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "Hidden" = "0x00000002"

上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


--2010年2月11日更新---

実行時、リモートポート81を介してjava.kut[削除]mily.comに接続しようとします。

実行時、以下の場所に自身をコピーします。

  • %Windir%\system32\drivers\BSLBT.exe
  • :[リムーバブルドライブ]\ recycler\s-51-9-25-3434476501-1644491933-601013339-1214\bslbt.exe

また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

「AutoRun.inf」ファイルはGeneric BackDoor.uの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、Generic BackDoor.uが自動的に起動されます。

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

以下のレジストリ値が追加されます。

以下のレジストリにより、Generic BackDoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    “Microsoft Driver Setup” = "%System%\drivers\BSLBT.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “Microsoft Driver Setup” = "%System%\drivers\BSLBT.exe"

乗っ取ったシステムで以下のセキュリティソフトウェアを終了します。

  • VIPRE.EXE
  • ISSDM_EN_32.EXE
  • P08PROMO.EXE
  • K7TS_SETUP.EXE
  • AVINSTALL.EXE
  • WITSETUP.EXE
  • TrendMicro_TISPro_16.1_1063_x32.EXE
  • VBA32-PERSONAL-LATEST-ENGLISH.EXE
  • CCSETUP210.EXE
  • FSMB32.EXE
  • FSGK32.EXE
  • FSAV95.EXE
  • SPIDERUI.EXE
  • SPIDERNT.EXE
  • ALERTMAN.EXE
  • RAVMOND.EXE
  • MAKEREPORT.EXE
  • BOXMOD.EXE
  • 360SAFE.EXE
  • 360RPT.EXE
  • 360HOTFIX.EXE
  • MKSPC.EXE
  • MKSFWALL.EXE
  • MKSVIRMONSVC.EXE
  • MKS_SCAN.EXE
  • MKS_MAIL.EXE
  • MKSREGMON.EXE
  • KAVPFW.EXE
  • KASMAIN.EXE
  • KAV32.EXE
  • ARCACHECK.EXE
  • ARCAVIR.EXE
  • AVMENU.EXE
  • A2HIJACKFREE.EXE
  • A2SERVICE.EXE
  • A2START.EXE
  • A2SCAN.EXE
  • NOD32M2.EXE
  • NOD32CC.EXE
  • NOD32.EXE
  • NMAIN.EXE
  • NOD32KUI.EXE
  • MSASCUI.EXE
  • MSMPENG.EXE
  • MCUPDATE.EXE
  • SVCPRS32.EXE
  • ITMRTSVC.EXE
  • CCPROVSP.EXE
  • MDMCLS32.EXE
  • CAGLOBALLIGHT.EXE
  • CAPFUPGRADE.EXE
  • AVGWDSVC.EXE
  • ASHWEBSV.EXE
  • ASHMAISV.EXE
  • ASWUPDSV.EXE
  • ASHSERV.EXE
  • ASHDISP.EXE
  • AVCENTER.EXE
  • SCHED.EXE
  • WIRESHARK.EXE
  • SPYBOTSD.EXE
  • TEATIMER.EXE
  • SPYBOTSD160.EXE
  • PROCESSMONITOR.EXE
  • PROCDUMP.EXE
  • PG2.EXE
  • LORDPE.EXE
  • ICESWORD.EXE
  • REANIMATOR.EXE

また、以下のサイトに接続しようとします。

  • java.BALDM[削除]WER.NET
  • java.BALDM[削除]OWER.ORG
  • java.BALDM[削除]OWER.COM

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


--2010年1月19日更新---

実行時、Generic BackDoor.uはリモートポート443を介してmcupdate.na[削除]rver.ns2.nameに接続しようとします。

Generic BackDoor.uはターゲットマシンで実行されるコンポーネントです。電子メール、ファイル共有ネットワーク、IRCチャネルなどを介して届きます。また、ドロッパファイルによってインストールされる可能性もあります。

上記のサイトに接続されると、以下の情報を攻撃者に送信します。

  • ホスト名
  • IPアドレス

システムの乗っ取り後、さまざまなバックドア活動を仕掛けられるよう、攻撃者にアクセスを提供します。ドロップ(作成)されたファイルがサーバとして機能し、クライアントから受け取ったコマンドを実行します。

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\tmp123

以下のレジストリキー値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\hivelist\\REGISTRY\MACHINE\]
    “tmp123” = “\Device\HarddiskVolume1\Documents and Settings\All Users\ntuser.dat”

Generic BackDoor.uが一度に1回だけ動作するよう、mutexが作成されます。

  • siueu2dowg

--2010年12月23日更新---

・システムへのインストール後、ルートキットとしての動作を見せ始めるGeneric BackDoor.uの新しいバージョンが存在します。ファイルは感染ごとに若干異なる可能性があります。

・<この新しいバージョンは感染システムに2つのサービスをインストールします

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDSUpDvr = "%SYSTEM32%\drivers\LDSUpDvr.sys"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DCOMCheck = "dcomcheck.exe"

・これらのファイルは通常、オペレーティングシステムから隠されています。

・実行後、サービスはHTTPSで以下のドメインにアクセスします。

  • cnn.911223.com

最初の通信では、以下の通り、感染コンピュータに関する情報が送信されます。

--2010年12月21日更新---

Generic BackDoor.uは「marmhao.ho[削除]p.net」に接続しようとします。

また、バックドアを開き、攻撃者が乗っ取ったマシンを制御するためのコマンドを発行できるようにします。

乗っ取ったシステムの情報を収集し、攻撃者に送信します。

  • コンピュータ名
  • その他の情報

--2010年12月8日更新 ------

・以下のサイトに接続するGeneric BackDoor.uの新しい亜種が存在します。

abcbb.911223.com

・接続後、msimage.datファイルをダウンロードし、マシンの情報を収集して上記のサイトに送信します。

起動時に自身をロードするレジストリRUNキーを作成します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

・Generic BackDoor.uは既知のJavaの脆弱性(CVE-2009-3867)を介して拡散することが確認されています。

--2010年12月1日更新 ------

・「Generic BackDoor.u」はユーザのすべてのキー入力(ユーザ名、パスワード、クレジットカード番号などの機密情報を含む)を収集して攻撃者に送信できるキーロガープログラムとして動作します。

・以下のサイトに接続し、悪質な活動を行います。

  • [削除].china.com
  • [削除].3322.net
  • [削除].oray.net

・以下のWindowsのシステム構成の詳細をリモートサーバを介して攻撃者に送信します。

  • 登録組織
  • 製品ID
  • RAMサイズ
  • CPU
  • プロセッサ名
  • プロセッサ数

・また、以下のシステム情報(コンピュータ名、プロセッサ情報、OSのバージョン)を攻撃者に送信します。

  • ドライブ情報
  • 総容量
  • 空き容量
  • 空き容量の割合
  • ボリューム情報
  • 現在の表示モード
  • システムフォルダ
  • ホスト名
  • 組織
  • 登録所有者
  • 所有者

・以下のレジストリキーを追加して、リモートコマンドシェルを開き、サーバがコマンドを実行できるようにします。

  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\HTTP\shell\open\command
  • USAGE: runas <PID>ExeFile
    例:
    runas test.exe (lsass.exeと関連してtest.exeを実行、デフォルト)
    runas 724 test.exe (指定されたPIDと関連してtest.exeを実行)
    runas user password test.exe (ユーザとしてtest.exeを実行)
  • Generic BackDoor.uはシステムのスナップショットを作成し、攻撃者に送信します。
  • アドレス帳に記載されている連絡先を収集し、ユーザに知られずに記載されている連絡先にダイヤルします。
  • また、リモートシステムにダイヤルして、パスワード復元ツールにWindows 2000/XP/2003をクラックさせます。
  • 以下のコマンドを使って、リモートポートをスキャンします。
  • TCP Port MultiScanner v1.0.
    使用:
    PortScan [-ip] <IP>[-p] <ポート>[-f] <出力フォーマット>[-timeout] sec [-thread] maxthread [-save] <ファイル名>
    例:
    PortScan -ip 1.1.1.1-1.1.2.254 -p 80 -f "IP: %s:%d"
    PortScan -ip 1.1.1.1-1.1.1.50,1.1.2.1-1.1.2.50 -p 21-23,3389
    PortScan -ip 1.1.1.1,2.2.2.2 -p 1-65535 -save xx.txt -timeout 1 -thread 200
  • パスごとにファイルを列挙し、サーバがファイルシステムの内容を閲覧できるようにします。
  • ZXHttpProxyという名前でミニプロキシサーバを作成し、リモートシステムと通信します。
  • また、ターミナルサービスセッションを列挙し、マシンにログインした人物を表示します。

実行時、以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\zxplug
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Security

以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Security]
    Security = [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
    ServiceDll = "%WinDir%\System32\bakerinit.dll"
    ServiceDllUnloadOnStop = 0x00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4]
    Type = 0x00000120
    Start = 0x00000002
    ErrorControl = 0x00000001
    ImagePath = "%WinDir%\System32\svchost.exe -k netsvcs"
    DisplayName = "6to4"
    ObjectName = "LocalSystem"

・上記の項目により、Generic BackDoor.uが「6to4」というサービス名でシステムに登録されるようにします。

[注: %WinDir ? C:\Windows%]


--2010年11月17日更新 ------

実行時、IExplore.exeに自身を挿入し、リモートポート80を介して201.57.[削除].130に接続します。

実行時、以下の場所に自身をコピーします。

  • %Windir%\startmgr32.exe [Generic.dx!usfという名前で検出]

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\259BFDF9-EACF-4F95-1F55-03209F01631D}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WZCDLG
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Visual Basic
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Visual Basic\6.0

以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{259BFDF9-EACF-4F95-1F55-03209F01631D}\]
    “StubPath” = “%Windir%\startmgr32.exe”

上記のレジストリにより、Generic BackDoor.uが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “Startup Manager” = “%Windir%\startmgr32.exe”

上記のレジストリにより、Generic BackDoor.uがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista)、\WINNT (Windows NT/2000)、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


・Generic BackDoor.uはバックドアを開き、攻撃者がコマンドを発行して、乗っ取ったマシンを制御できるようにするトロイの木馬の総称です。Generic BackDoorの詳細はこちらを参照してください。

2010年3月5日更新

・Generic BackDoor.uに新たな亜種が加わりました。システムへのリモートアクセスが可能なArucer.dllという名前のdllが見つかりました。このdllファイルは通常、%System%フォルダにあり、再起動時にdllを再起動できるRunキーが組み込まれています。

  • rundll32 %System%\Arucer.dll,Arucer

・Generic BackDoor.uはポート7777を開いて、接続を受け入れます。接続が試行されると、0xE5でXOR化された最初の4バイトが取得されます。さらに、最初の4バイトに続いて、最大0x800バイトのデータを受け入れます。このデータも同じキーでXOR化され、解読されたデータはコマンドと解釈されます。コマンドは9つあり、以下のような例があります。

  • {E2AC5089-3820-43fe-8A4D-A7028FAD8C28}
  • {F6C43E1A-1551-4000-A483-C361969AEC41}
  • {EA7A2EB7-1E49-4d5f-B4D8-D6645B7440E3}

・テスト中、バックドアにより、攻撃者がマシンにアクセスできるようになるといった悪質な活動は確認されませんでした。

===============================================================================

・Generic BackDoor.uには複数の亜種が存在します。以下はある特定のサンプルに関する情報です。

・実行時、Generic BackDoor.uは%SystemDir%に自身をコピーし、{ランダムな名前}.dIlという名前で%SystemDir%にdllファイルをドロップ(作成)します。このdllファイルにはランダムな名前とdIlという拡張子が付けられており、Generic BackDoor.uの実行インスタンスによって異なります。

・次に、以下にレジストリ項目を作成して、このdllをCOMオブジェクトとして登録します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{<DLL_CLSID>}\
    (<DLL_CLSID>はGeneric BadkDoor.uをドロップされたdllに関連づけるCLSIDで、dllはトロイの木馬の実行ごとに異なります。の一例にF3972BD9-2B47-3F3D-A42C-B2B13A2C187Dがあります。)

・また、以下の場所から別のdllをドロップしてロードします。

  • X:\Documents and Settings\%User%\Local Settings\Temp\{ランダムな名前}.dll
    (X:はシステムドライブの文字(例:C:)。%User%はカレントユーザのID。このdllファイルにはランダムな名前が付けられており、Generic BackDoor.uの実行インスタンスによって異なります。)

・再起動時に自身を起動するため、以下のレジストリ項目に自身を追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

・次に、バックドアを開き、コマンドの受信待機を行います。バックドアが開かれるポートはランダムです。受信可能なコマンドにより、リモート攻撃者は以下を実行できます。

  • ファイルの転送
  • dllファイルのロード/アップロード
  • システムレジストリの照会/改変
  • 特定のターゲットに解するDoS攻撃
  • 乗っ取ったマシンの終了/再起動

・コードによれば、Generic BackDoor.uは以下のコマンドを受信できます。

  • RUNDLL
  • RESTART
  • RESPAWN
  • UNINSTALL
  • MULTICAST
  • RESOLVE
  • STATS
  • SETCOOKIE
  • DELCOOKIES
  • LISTCOOKIES
  • EXPORT
  • ADDTO
  • DELFROM
  • SETSTR
  • PERFRM
  • UNFREEZE
  • RMOLD
  • UNIFORG
  • SETWND
  • LSTWND
  • SHUTDOWN
  • DISKFLOOD
  • DISKUNFLOOD

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリが存在します。
  • 上記のIPアドレスへの予期しないネットワーク接続が存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る