感染方法
・W32/Mugly.c@MMが実行されると、%SysDir%(Windowsのシステムディレクトリ、例:C:\WINDOWS\SYSTEM32)に自身のコピーを作成します。
・以下のファイルがドロップ(作成)されます。
- %SysDir%\ANSMTP.DLL (141,312バイト - 無害なSMTPライブラリ)
- %SysDir%\attached.zip (ZIPに格納されたW32/Mugly.c@MMのコピー)
- %SysDir%\bszip.dll (34,304バイト - 無害なZIPライブラリ)
- %SysDir%\uglym.jpg (11,228バイト - 画像ファイル、「症状」を参照)
- %SysDir%\winprotect.exe (231,500バイト - ドロップ(作成)されたIRCバックドア)
- C:\BT32.EXE (ドロップ(作成)されたIRCバックドアのもう1つのコピー)
・ドロップ(作成)されたIRCバックドアは上記のエンジン/ウイルス定義ファイルでW32/Sdbot.worm.gen.hとして検出されます。
・ドロップ(作成)されたIRCバックドアが実行されると、ターゲットマシンに自身をインストールします。以下の値
- "virtual" = winprotect.exe
が以下のレジストリキーが追加されてシステム起動時にフックされます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\OLE
・バックドアが圧縮されている圧縮プログラムにより、ターゲットマシンに以下のファイルがドロップ(作成)されます。
- %SysDir%\SVKP.SYS (2,368バイト)
・このコンポーネントはサービスとしてターゲットマシンにインストールされ、以下のレジストリキーで設定されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
・W32/Mugly.c@MMがドロップ(作成)して使用するZIPおよびSMTPライブラリはCOMオブジェクトとしてターゲットマシンにインストールされます。この間、以下のレジストリキーの構成データが追加されます。
- HKEY_CLASSES_ROOT\ANSMTP.MassSender
- HKEY_CLASSES_ROOT\ANSMTP.OBJ
- HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
- HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
- HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
- HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
- HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
- HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}
- HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
・W32/Mugly.c@MMに感染し、他でこれらのライブラリを使用しない場合、無関係のアプリケーションで手動でこれらの登録を取り消す必要があります。
