TCP ポート 1906/1907 にバックドアを開くことにより、
リモートの攻撃者が次の操作を実行できるようにします。
* 侵入先のコンピュータにメッセージを表示する
* ユーザからの入力を遮断する/許可する
* 長時間の間、ビープ音を鳴らす
* CD ドライブを閉じる/取り出す
* スタートメニューを隠す/無効にする/有効にする
* タスクマネージャやレジストリツールを有効にする/無効にする
* アクティブなウィンドウにテキストメッセージを送信する
* プロセスの列挙/停止
* ウィンドウを列挙する/閉じる
* アンチウイルスプログラムを停止する
* 感染先のコンピュータに大量のメッセージを送りつける
* ウィンドウのテキストを設定する
* Windows をフリーズさせる
* マスターボリュームを設定する
* wave ファイルと MIDI ファイルを再生する
* 侵入先のコンピュータのシステム情報を表示する
* キーログを表示する/消去する
* IP テーブルを表示する
* 空白のパスワードをもつユーザを追加する
* ftp 設定を表示する
* 被害者とチャットする
* プログラムを実行する
* 電子メールを送信する
* ファイルのダウンロード/アップロード
Backdoor
ですから、何ができても不思議ではないのですが、Symantecがこれだけ詳しい情報を出すってことはかなり広まってるのじゃないかと思います。
Symantec さんは汎用検出名(Download.Trojan,Download.Adware など)での対応が多いので実際にどれくらい対応しているのか不明な点が「なんだかなぁ」です。マカフィーもそうですが・・
Checks the URL in Microsoft Internet Explorer if it is neither www.searchmeup.com/ nor www.umaxsearch.com/. If not, it will redirect to gugle.biz domain.
検索結果の乗っ取りでしょうか。
画像があります。マカフィーの下記のものと同じようです。
キーロガーですが、「セキュリティリスク」扱いでいいのかなとちょっと不安です。
Downloads a file named web.exe from a predetermined Web site
on the all-find.org domain, saves it as
C:\Windows\System32\web.exe, and executes it.
Notes:
* At the time of writing the downloaded file is detected as Trojan.Dropper.
* The Trojan will create the C:\Windows\System32 folder
if it does not exist on the computer.
MS05-002です。ふむふむです。
