English
Deutsch
Français
Español
Italiano
ホーム
ウイルス情報
BDS/Ciadoor.BO
検索
ホーム
サポート
ソリューション
製品
ダウンロード
ウイルス情報
統計
フィッシングの発生地域
VDF の公開履歴
ウイルス関連用語
サンプルの送信
セキュリティ ニュース
In the Wild ウイルス
会社
広報
パートナー
ニュースレター
TechBlog
BDS/Ciadoor.BO - Backdoor Server
参照
概要
詳しい説明
統計
この情報の評価をお聞かせください。
最低
最高
ウイルス
BDS/Ciadoor.BO
発見日:
30/07/2006
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中~高
スタティック・ファイル
はい
ファイル・サイズ
1.218.748 バイト
MD5 チェックサム
655e5c9ea699d5ead17ad63529e09fe7
VDFファージョン:
6.35.1.21
IVDFファージョン:
6.35.1.21
一般情報
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.Ciadoor.bo
• ビットディフェンダー(Bitdefender): Backdoor.Ciadoor.FA
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
副作用
• セキュリティ・アプリケーションを無効にします。
• ファイルを作成します。
• 悪意ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
起動後以下の情報が表示されます:
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\tz2L7ah3Pa.ini
•
%SYSDIR%
\Directx.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%SYSDIR%
\del32.bat
–
%SYSDIR%
\drivers\oreans32.sys
–
%SYSDIR%
\wsock32.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Ciadoor.13.B
–
%SYSDIR%
\ckl009.dat このファイルは入力されたキーについて収集された情報を含みます。
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Generic Host Process"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run
• "Generic Host Process"="
%SYSDIR%
\directx.exe"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
•
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• "shell"="Explorer.exe
%SYSDIR%
\DirectX.exe"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• Generic Host Process"="
%SYSDIR%
\DirectX.exe"
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
• "Generic Host Process"="
%SYSDIR%
\DirectX.exe"
以下のレジストリ・キーの値が消えています:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
以下のキーを追加してbrowser helper object(BHO)を登録します。
– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
以下のレジストリ・キーが追加されます:
– HKCR\N.Cs4\Clsid
• "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"
– HKCR\N.Cs4
• "(Default)"="N.Cs4"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
• "(Default)"="3.0"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
• "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
• "ThreadingModel"="Apartment"
• "(Default)"="
%SYSDIR%
\wsock32.sys"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
• "(Default)"="N.Cs4"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
• "(Default)"="N.Cs4"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
• "Version"="3.0"
• "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
ProxyStubClsid32
• "(Default)"="{00020424-0000-0000-C000-000000000046}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
ProxyStubClsid
• "(Default)"="{00020424-0000-0000-C000-000000000046}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
• "(Default)"="Cs4"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
• "(Default)"="
%SYSDIR%
"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
• "(Default)"="
%SYSDIR%
\wsock32.sys"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
• "(Default)"="0"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
• "(Default)"="N"
– HKCU\Software\VB and VBA Program Settings\set\set
• "set"="tz2L7ah3Pa.ini"
– HKLM\SYSTEM\ControlSet003\Services\Messenger
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet003\Services\ATS
• "Start"=dword:00000000
– HKCU\Software\Policies\Microsoft\Windows\System
• "DisableCMD"=dword:00000001
– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
• "Disabled"=dword:00000000
– HKCR\..DlI
• "(Default)"="exefile"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
• "run"="
%SYSDIR%
\DirectX.exe"
– HKLM\SYSTEM\ControlSet001\Services\SENS
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\SENS
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet003\Services\SENS
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\Nla
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\Nla
新しい値
• "Start"=dword:0000000
– HKLM\SYSTEM\ControlSet003\Services\Nla
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\Messenger
新しい値
• "Start"=dword:0000000
– HKLM\SYSTEM\ControlSet002\Services\Messenger
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\ATS
新しい値
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\ATS
新しい値
• "Start"=dword:00000000
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
前の値
• "load"=""
新しい値
• "load"="
%SYSDIR%
\DirectX.exe"
ネットワーク感染
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• doener.no-ip.**********:314
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。
以下についての情報を送ります:
• スクリーンを取り込む
• ウェブカムからショットを取り込む
• ログインしているユーザ
• 起動中のプロセスについての情報
• ウインドウズOSについての情報
リモート・コントロール機能
• ディレクトリを移動する
• ファイルをコピーする
• ファイルの削除
• ディレクトリ一覧表示
• メッセージの表示
• ダウンロード・ファイル
• 実行ファイル
• プロセスを強制終了する
• ファイルを移動する
• システム再起動
• メールを送る
• システムをシャットダウンする
• ファイルをアップロードする
窃盗
以下の情報を盗もうとします:
– 取り込むのは:
• キー入力
• ウインドウ情報
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\wsock32.sys
– プロセスにリモートスレッドとして挿入します。
プロセス名:|以下のすべて:
•
%PROGRAM FILES%
\Internet Explorer\IEXPLORER.exe
成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。
その他
アンチ・デバッギング
成功すると、以下を表示し、自身は終了します:
ルートキット・テクノロジー(Rootkit Technology)
以下のものを隠します:
– それ自身のレジストリ・キー
ファイルの詳細
プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。
簡単な説明は
ココ
にあります。.
この説明は Bogdan Iliuta によって Mon, 31 Jul 2006 15:41 (GMT+1) 書き込まれました。
この説明は Bogdan Iliuta によって Fri, 04 Aug 2006 15:22 (GMT+1) 更新されました。
»
マルウェアについて
»
フィッシングについて
»
In the Wild ウイルス
« 戻る
このページを印刷
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Avira からの最新情報を取得
各種のマルウェアとその変形を検出して削除します。
ここからダウンロード
パネルを取得するには
ここ
をクリック...
© 2009 Avira GmbH
著作権情報
|
プライバシー
|
サイトマップ
|
フィードバック
|
会社情報
|
FAQ
|
連絡先
ウイルス情報 BDS/Ciadoor.BO
このページを印刷
.gif)
