Backdoor.Ryknos

Backdoor.Ryknos は、バックドア機能を備えたトロイの木馬です。

分析により、W32.Looksky.B（MCID 6121）と Backdoor.Ryknos は、構成が類似していることが分かりました。主な違いは、Backdoor.Ryknos は SecurityRisk.First4DRM を悪用する点のようです。

このトロイの木馬は、いったん実行されると、自分自身を次のファイルとしてコピーします。
%System%\$sys$drv.exe

このトロイの木馬は、標的のコンピュータ上に XCP ソフトウェアが存在している場合は、インストールされません。XCP ソフトウェアは、いくつかの Sony BMG コンテンツ-プロテクティッドミュージック CD を挿入したときにインストールされるものです。

しかし、このトロイの木馬のインストール後に XCP ソフトウェアがインストールされた場合は、XCP ソフトウェアは、このトロイの木馬ファイルのコピーと作成されるレジストリサブキーを隠します。

その後このトロイの木馬は、次のいずれかのミューテックスを作成して、標的のコンピュータ上でこのトロイの木馬のインスタンスが同時に 1 つのみ実行されるようにします。
SonyEnabled
$sys$drv.exe

次にこのトロイの木馬は、次のレジストリエントリを作成します。
HKEY_CURRENT_USER\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj\"$sys$drv" = "$sys$drv.exe"

コードのバグにより、このトロイの木馬は、次のサブキーの下にレジストリサブキーを作成しようと試みて、失敗します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Run

次にこのトロイの木馬は、TCP ポート 8080 を使って事前に定義された IP アドレスへ通知メッセージの送信を試みます。

またこのトロイの木馬は、Windows ファイアウォールへ自分自身を信頼済みのアプリケーションとして追加しようと試みます。

このトロイの木馬は、IRC チャネル #sony へ接続し、コマンドを listen することによって、バックドア機能を提供します。

これらのコマンドにより、リモートの攻撃者が次の操作を行うことが可能になります。
ホスト名、ユーザー名、オペレーティングシステムのバージョン、IP アドレスなどの秘密情報を送信する
リモートファイルをダウンロードして実行する

このトロイの木馬は、次の Web サイトへコンタクトし、W32.Looksky.B（MCID 6121）の亜種として検出される 1 ファイルのダウンロードを試みます。

http://playtimepiano.home.comcast.net/bk.exe

危険性の評価