・Generic.dx!slfはMSNメッセンジャーを使って拡散するワームで、バックドア機能が組み込まれています。リモート攻撃者による乗っ取ったコンピュータへの無許可のアクセスと制御を可能にするバックドア機能を使用します。
・実行時、以下のレジストリ項目が作成されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SVCWINSPOOL]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SVCWINSPOOL]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32\0000]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32\0000\Control]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\Security]
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\Enum]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32\0000]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32\0000\Control]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Security]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum]
・Generic.dx!slfは、14.scr、21.scrなど、2桁の数字の名前と拡張子の.SCRを持つファイルとして表示される可能性があります。レジストリが改変され、Windowsが起動するたびにGeneric.dx!slfのコピーが実行されます。また、Windowsがセーフモードで起動したときにGeneric.dx!slfが実行されるよう、レジストリデータが作成される可能性もあります。
・以下のレジストリ項目が追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WSVCHO]
- %System%\svhost.exe
・実行時、リモートポート976を使って以下のサイトに接続します。
・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
- %System%\svhost.exe
・Generic.dx!slfはsvchost.exeプロセスを作成し、自身をプロセスに挿入します。さらに、以下のデバイスドライバのファイル[sysdrv32.sys]をドロップ(作成)します。
・実行時、sysdrv32.sysというファイル名でWindowsのドライバフォルダにルートキットをドロップします。ドロップされたバイナリは、以下のレジストリキーを作成して、自身をサービスとして登録します。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\]
・サービスの特徴は以下のとおりです。
- ImagePath : "%SystemDir%\ drivers\sysdrv32.sys"
- DisplayName : " Play Port I/O Driver"
- Group : "SST wanport drivers"
・以下のファイルが乗っ取ったシステムに追加されます。
- %System%\svhost.exe
- %SystemDir%\drivers\sysdrv32.sys [Generic Rootkit.gという名前で検出]
・以下のスクリーンショットから、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、Generic.dx!slfを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散することがわかります。
- %RemovableDrive%\wlan.exe
- %RemovableDrive%\Autorun.inf
%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files, %SystemDrive% = オペレーティングシステムがインストールされているドライバで、通常はC:\。%RemovableDrive% = システムに挿入されたリムーバブルドライブ
