・Generic.dx!kjiが実行されると、以下のレジストリ項目を作成します。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
- [HKEY_USER\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
- [HKEY_USER\S-1-5-21-[不定]\Software\Server]
・デバッグを阻止する手段を用いて、Generic.dx!kjiが仮想環境で実行されないようにします。
・以下のレジストリ値が乗っ取ったシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
- Winptsp: "%System32%\Winptsp\winptsp.exe"
- [HKEY_USER\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
- Winptsp: "%System32%\Winptsp\winptsp.exe"
- [HKEY_USER\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\]
- HKEY_CURRENT_USER: "%System32%\Winptsp\winptsp.exe"
・上記のレジストリ項目により、システムが起動するたびにGeneric.dx!kjiが実行されるようにします。
- [HKEY_USER\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
- HideFileExt: 0x00000000
- [HKEY_USER\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
- SuperHidden: 0x00000000
・上記のレジストリ項目により、ファイル拡張子を隠し、自身がユーザから表示されないようにします。
・以下のファイルが追加されます。
- %System32%\Winptsp\winptsp.exe
・実行時、以下のフォルダが追加されます。
・また、リムーバブルドライブを監視します。乗っ取ったシステムにリムーバブルドライブが挿入されると、乗っ取ったシステムに接続されたリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが他のシステムに接続されるたびに自身を実行します。
・上記のスクリーンショットのとおり、Generic.dx!kjiがリムーバブルドライブの以下の場所に自身をコピーします。
- %RemovableDrive%\RECYCLER\S-1-5-21-[不定]\winptsp.exe
%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files, %SystemDrive% = オペレーティングシステムがインストールされているドライブで、通常はC:\
