ウイルス情報
RootKit (00182bda1)
対応日 | 2010-07-17 |
驚異レベル | 低 |
種類 | トロイの木馬 |
影響のあるOS | Windows Vista Windows XP Windows 2003 Server Windows 2000 |
ファイルサイズ(バイト) | 513536 |
別名 | Trojan-Dropper.Win32.Stuxnet.a (Kaspersky Anti-Virus) |
ウイルスの挙動
- "mrxcls.sys"ファイルと"mrxnet.sys"ファイルを%System%\Driversフォルダ以下に作成する
- "%Windows%\INF"フォルダに、以下の暗号化されたファイルを追加する
mdmcpq3.PNF
mdmeric3.PNF
oem6C.PNF
oem7A.PNF - 自身をサービスとして登録するため、以下のレジストリ値を追加する
"ImagePath" = "%System%\drivers\mrxcls.sys"
・場所
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls - 自身をサービスとして登録するため、以下のレジストリ値を追加する
"ImagePath" = "%System%\drivers\mrxnet.sys"
・場所
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet - 自身を以下のファイルとしてリムーバブルドライブのルートフォルダ直下にコピーし、ルートキットとしてファイルを隠蔽する
~wtr4141.tmp
~wtr4132.tmp
Copy of Shorcut to.lnk
Copy of Copy of Shorcut to.lnk
Copy of Copy of Copy of Shorcut to.lnk
Copy of Copy of Copy of Copy of Shorcut to.lnk - このトロイの木馬は、自動実行のためにWindowsショートカットのゼロデイ脆弱性を使用する。このエクスプロイトの詳細情報はこちら。