テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.SMProxy.B
Win32.SMProxy.B
| 別名 |
Backdoor.Gaster(Symantec), BKDR_GASTER.A(Trend), Win32/SMProxy.B.Trojan |
| カテゴリ |
Win32 |
| タイプ |
トロイの木馬 |
| 文書公開日 |
1/29/2004 |
| 最終更新日 |
1/28/2004 |
|
 |
|
|
特徴
Win32.SMProxy.Bは、SOCKSプロキシとして動作するトロイの木馬で、感染者のマシンへの不正アクセスを許可するバックドアとして利用される可能性があります。
インストール方法
Win32.SMProxy.Bは、実行されると ibot4.exe として %System% ディレクトリに自身をコピーし、Windows起動時にこのコピーが実行されるようレジストリを改変します。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shmgrate.exe
= "%System%\ibot4.exe"
ご注意:
「%System%」は可変ロケーションです。 トロイの木馬はオペレーティング システムを検索し、現行のSystem フォルダのロケーションを調べます。 Systemディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になっています。
ペイロード
プロセスの終了
SMProxy.Bは、実行されると以下のプロセスをチェックし、これらが実行されている場合は強制終了させます、
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
SOCKSプロキシ/バックドア機能
SMProxyの主な機能は、SOCKSプロキシとして動作することです。 これらを使って、感染システム経由でネットワーク トラフィックを転送させることがあります。例えば、インターネット上で実際に悪意の操作を行っている実行者を隠匿する目的で使用されます。
SOCKSコマンドに加えて、トロイの木馬は通常のプロキシでは理解できない特定のバックドア コマンドを受け付けます。 これにより、ファイルのアップロード/実行や、自身のアンインストールなど、追加的なバックドア機能を実行することが可能となります。
SMProxy.Bは、ポート34773をオープンして受信待機します。 その後、以下のサイトへ接続しようとします。
http://www.block-investment.de/******/nro2.php
http://www.gasterixx.de/***/nro2.php
http://www.deadlygames.de/DG/BF/BF-Links/*****/nro2.php
http://www.o-problemo.de/**********/nro2.php
http://www.tv87.de/subdomain_la/********/nro2.php
http://www.ranknet.de/LVS/pics/******/nro2.php
http://www.remix-world.de/in2site/******/nro2.php
http://www.joerrens.de/system/*******/nro2.php
http://www.bbszene.de/store/images/************/nro2.php
http://www.nikofor.com/******/nro2.php
http://www.dyna-maik.de/silent_shoes/DHCExport/DreamHC/********/nro2.php
http://www.werk3.de/tmv/popup/popup/***/nro2.php
http://www.gebr-wachs.de/mod/san_beratung/*****/nro2.php
http://www.rgs-rostock.de/***/nro2.php
http://www.lords-of-havoc.de/*******/nro2.php
トロイの木馬がオープンしたポート、および8桁のユーザID番号など、既にレジストリに保存されている情報を使用して上記サイトへの接続を行います。これらの情報は、ウェブサイトの認証で使用されます。
この目的のため、トロイの木馬は以下のようなレジストリ変更を行ないます。
HKCU\SOFTWARE\DateTime
HKCU\SOFTWARE\DateTime\uid = < 8桁の番号 >
HKCU\SOFTWARE\DateTime\port = 34773
HKCU\SOFTWARE\DateTime\pid = < トロイの木馬の現在のプロセスID >
本情報記述時点で、これらのサイトは使用不可能になっています。これらのアドレスは、変更され再度使用可能になることがあります。
Analysis
by Matthew McCormack
対応シグネチャ/エンジン情報
| 製品 |
対応シグネチャ
/エンジン情報* |
ウイルス駆除手順 |
| eTrust Antivirus 7.0 |
23.63.56 |
アンチウイルス ソフトウェアを最新のシグネチャで更新してからCure Optionを使用してすべての感染したマシンをスキャンしてください。 |
| eTrust EZ Antivirus 6.x |
6.x/5171 |
アンチウイルス ソフトウェアを最新のシグネチャで更新してからCure Optionを使用してすべての感染したマシンをスキャンしてください。 |
| eTrust InoculateIT 6.0 / eTrust Antivirus 6.0 |
23.63.56 |
アンチウイルス ソフトウェアを最新のシグネチャで更新してからCure Optionを使用してすべての感染したマシンをスキャンしてください。 |
| InoculateIT 4.x |
45.56 |
アンチウイルス ソフトウェアを最新のシグネチャで更新してからCure Optionを使用してすべての感染したマシンをスキャンしてください。 |
| Vet 10.5x |
10.5x/5171 |
|
| Vet 10.6x |
10.6x/8083 |
|
| Vet 11.2x |
11.2x/8083 |
|
*これらのシグネチャおよび今後のリリースは保護されています。現在ダウンロード可能なシグネチャ ファイルがこのリストに掲載されているバージョンより古い場合、必要なシグネチャのQAテストがまだ終了していないためです。間もなく掲載されますので、お待ちください。
|
