Backdoor.Haxdoor.D

1. 次のファイルを作成します。
   
   • %System%\w32tm.exe
   • %System%\drct16.dll
   • %System%\cz.dll
   • %System%\vdmt16.sys
   • %System%\hz.dll
   • %System%\winlow.sys
   • %System%\wz.dll
   • %System%\p2.ini
     
     

     ---

     注意:
   • %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
   • トロイの木馬は、Windows エクスプローラにファイルが表示されないように設定するため、上述のファイルの一部とレジストリキーエントリは、通常通り Windows を再起動しても非表示である可能性があります。

     ---

     
     
2. 隠しプロセスとして %System%\w32tm.exe を実行することにより、自分自身がタスクマネージャで表示されないようにします。
   
   
3. 次の値を
   
   "Secboot" = "w32tm.exe"
   
   次のレジストリキーに追加することによって、
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   Windows の起動時に必ずトロイの木馬が実行されるように設定します。
   
   
4. 次のレジストリキーを作成します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
   
   
5. 次の値を
   
   "Disable TrayIcon" = "1"
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
   
   これにより、カーネルが異常なメモリの上書きをチェックできなくなり、トロイの木馬はメモリの一部を上書きできるようになります。
   
   
6. 次の値を
   
   "StackSize" = "21:10"
   "Impersonate" = "[TIMESTAMP]"
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
   
   これにより、カーネルが異常なメモリの上書きをチェックできなくなり、トロイの木馬はメモリの一部を上書きできるようになります。
   
   
7. 次の値を
   
   "hws" = "[0xRandom]"
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
   
   これにより、カーネルが異常なメモリの上書きをチェックできなくなり、トロイの木馬はメモリの一部を上書きできるようになります。
   
   
8. 次の値を
   
   "EnforceWriteProtect" = "0"
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management
   
   これにより、カーネルが異常なメモリの上書きをチェックできなくなり、トロイの木馬はメモリの一部を上書きできるようになります。
   
   
9. Windows 95/98/Me の場合、次のレジストリキーの
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\
   TestService
   
   次の値を改ざんします。
   
   "DllName" = "draw32.dll"
   "EntryPoint" = "MedManager"
   "StackSize" = "0"
   
   
10. Windows 2000/NT/XP の場合、次のレジストリキーの
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
    
    次の値を改ざんします。
    
    "DllName" = "drct16.dll"
    "Startup" = "MedManager"
    "Impersonate" = "dword:00000001"
    "Asynchronous" = "dword:00000001"
    "MaxWait" = "dword:00000001"
    
    
11. TCP ポート 16661 と、さらにランダムな 2 つの上位ポートを開き、リモートの攻撃者からのコマンドを待機します。接続されると、"A-311 Death welcome" というメッセージを返します。
    
    
12. SLL ファイルとして、システムパスワードファイル SAM のコピーをとろうとします。また特定のキーワードと合致するキーストロークを記録します。
    
    
13. 侵入先のシステムから盗んだ情報を電子メールでリモートの攻撃者に送信します。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。