【速報】遠隔操作ウイルスのURLが嫌儲民によって特定される? ★3
17 :番組の途中ですがアフィサイトへの転載は禁止です:
シマンテックによる説明
Backdoor.Rabasheeta Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99&tabid=2
Discovered: October 9, 2012
Type: Trojan
Infection Length: 49,664 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
When the Trojan is executed, it creates the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "[PATH TO TROJAN]"
The Trojan then opens a back door on the compromised computer by connecting to the following legitimate website:
http://jbbs.livedoor.jp/
It then receives commands from the remote attacker, which are encoded by BASE64 and encrypted by Rijndael, and allows the attacker to perform the following actions:
Uses its own Web browser to access specific sites determined by the attacker with GET and POST requests
Take screenshots of its own Web browser
Take screenshots of the desktop
Log keystrokes and mouse clicks
Create a list of the file system
Upload files to its own server
Download and execute files from a remote location
Create new processes
Delete itself
Update itself
It uploads files to the following URL:
[http://]sysdeck.boxhost.me/upld[REMOVED]
Backdoor.Rabasheeta Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99&tabid=2
Discovered: October 9, 2012
Type: Trojan
Infection Length: 49,664 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
When the Trojan is executed, it creates the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "[PATH TO TROJAN]"
The Trojan then opens a back door on the compromised computer by connecting to the following legitimate website:
http://jbbs.livedoor.jp/
It then receives commands from the remote attacker, which are encoded by BASE64 and encrypted by Rijndael, and allows the attacker to perform the following actions:
Uses its own Web browser to access specific sites determined by the attacker with GET and POST requests
Take screenshots of its own Web browser
Take screenshots of the desktop
Log keystrokes and mouse clicks
Create a list of the file system
Upload files to its own server
Download and execute files from a remote location
Create new processes
Delete itself
Update itself
It uploads files to the following URL:
[http://]sysdeck.boxhost.me/upld[REMOVED]
|
|
|
18 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 11:37:01.97 ID:S66sTrgj0
トレンドマイクロによる説明
BKDR_SYSIE.A | 危険度: 低 | トレンドマイクロ:セキュリティデータベース
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
マルウェアは、以下のコンポーネントファイルを作成します。
・{malware path}\cfg.dat - malware's configuration file
マルウェアは、以下のWebサイトにファイルをアップロードします。
・http://{BLOCKED}k.{BLOCKED}t.me/upld.php
マルウェアは、以下の電子掲示板システム(BBS)にアクセスし、不正リモートユーザからのコマンドを送受信します。
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/<スレッドのID>/
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/
掲示板のカテゴリ、BBSのID、およびマルウェアが利用するURLは、環境設定ファイル "cfg.dat" のコンテンツによって決まります。
マルウェアが実行するコマンドは以下のとおりです。
スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する
BKDR_SYSIE.A | 危険度: 低 | トレンドマイクロ:セキュリティデータベース
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
マルウェアは、以下のコンポーネントファイルを作成します。
・{malware path}\cfg.dat - malware's configuration file
マルウェアは、以下のWebサイトにファイルをアップロードします。
・http://{BLOCKED}k.{BLOCKED}t.me/upld.php
マルウェアは、以下の電子掲示板システム(BBS)にアクセスし、不正リモートユーザからのコマンドを送受信します。
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/<スレッドのID>/
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/
掲示板のカテゴリ、BBSのID、およびマルウェアが利用するURLは、環境設定ファイル "cfg.dat" のコンテンツによって決まります。
マルウェアが実行するコマンドは以下のとおりです。
スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する