久々ですが(滝汗)、かなり気になりました。
次のファイルとして自分自身をコピーします。
%UserProfile%\Application Data\m\flec006.exe
制限付きアカウントではレジストリHKLMへの書き込みはできませんけど、%UserProfile%フォルダでへの書き込みはOKですよね。単純かもですけどこの手法増えてるのかも。
Backdoor.Rustock.B が実行されると、次のことを行います。
1. 次の隠し代替データストリームを作成します。
%Windir%\System32:lzx32.sys
ディレクトリ(フォルダ)に付けちゃうわけですね。前からいくつかありました(Trojan.Comxt.Bとか)けどこの手法も流行ったらいやですねぇ。これからのスキャナーはこのADSの検出能力も問われてくるように思います。(※こういうのって kernel rootkit って言うのかな?)
多分パーソナルファイアウォールのブロック回避だと思うんですけど*1 iexplore.exe(IE) や svchost.exe を使うのって結構あるみたいですね。こういうのって「dllインジェクション」って言うのかな?「Application Hijack」とかかな?(無知ですんません..)。Norton Internet Security では設定変更するとこういうのを検出したりしますけど、あまりにも「しまくり状態」になるので実用的でなかったり。
*1:Sygate とか 検出するのもあると思いますけど。
