McAfee for Small Businesses

・Proxy-Mitgliederはバックドア型トロイの木馬で、悪質なファイルをダウンロードしようとします。

・Proxy-Mitgliederが実行されると、 %windir%\system32フォルダに自身をコピーし、システム起動時に実行するように以下のレジストリキーを作成します。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\
  Run "ssgrate.exe" = C:\WINNT\System32\system.exe

・Proxy-Mitgliederはプロセスリストをモニタし、以下の名前のプログラムを終了します。

• ATUPDATER.EXE
• AVWUPD32.EXE
• AVPUPD.EXE
• LUALL.EXE
• DRWEBUPW.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• UPDATE.EXE
• NUPGRADE.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE

・以下のさまざまなWebサーバへTCP接続します。

• http://www.block-investment.de/[blocked]/nro4.php
• http://www.gasterixx.de/[blocked]/nro4.php
• http://www.deadlygames.de/[blocked]/nro4.php
• http://www.o-problemo.de/[blocked]/nro4.php
• http://www.tv87.de/[blocked]/nro4.php
• http://www.ranknet.de/[blocked]/nro4.php
• http://www.remix-world.de/[blocked]/nro4.php
• http://www.joerrens.de/[blocked]/nro4.php
• http://www.bbszene.de/[blocked]/nro4.php
• http://www.nikofor.com/[blocked].php
• http://www.dyna-maik.de/[blocked]/nro4.php
• http://www.werk3.de/[blocked]/nro4.php
• http://www.gebr-wachs.de/[blocked]/nro4.php
• http://www.rgs-rostock.de/[blocked]/nro4.php
• http://www.lords-of-havoc.de/[blocked]/nro4.php

・Proxy-Mitgliederは感染したマシンのTCPポート39999を開き、攻撃者からのコマンドを受信します。

・以下のWebサーバからファイルをダウンロードします。

• http://www.rgs-rostock.de/[blocked]/x.exe
• http://www.gebr-wachs.de/[blocked]/x.exe
• http://www.lords-of-havoc.de/[blocked]/x.exe

・このファイルは%windir%に書き込まれ、SAGEBOX.EXEというが名前が付けられます。Proxy-Mitgliederはパスワード詐取型トロイの木馬の新しい亜種で、4314定義ファイル以降でPWS-LDPinchとして検出されます。