Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

ウイルス情報

Google の広告

久々ですが(滝汗)、かなり気になりました。

次のファイルとして自分自身をコピーします。 %UserProfile%\Application Data\m\flec006.exe

制限付きアカウントではレジストリHKLMへの書き込みはできませんけど、%UserProfile%フォルダでへの書き込みはOKですよね。単純かもですけどこの手法増えてるのかも。


Backdoor.Rustock.B が実行されると、次のことを行います。

1. 次の隠し代替データストリームを作成します。

%Windir%\System32:lzx32.sys

ディレクトリ(フォルダ)に付けちゃうわけですね。前からいくつかありました(Trojan.Comxt.Bとか)けどこの手法も流行ったらいやですねぇ。これからのスキャナーはこのADSの検出能力も問われてくるように思います。(※こういうのって kernel rootkit って言うのかな?)

多分パーソナルファイアウォールのブロック回避だと思うんですけど*1 iexplore.exe(IE) や svchost.exe を使うのって結構あるみたいですね。こういうのって「dllインジェクション」って言うのかな?「Application Hijack」とかかな?(無知ですんません..)。Norton Internet Security では設定変更するとこういうのを検出したりしますけど、あまりにも「しまくり状態」になるので実用的でなかったり。

*1:Sygate とか 検出するのもあると思いますけど。