【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬

国際 海外情報

◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステムを搭載した他のコンピューターに拡散する。このトロイの木馬は、Borland Delphiプログラミング言語で記述されている。

 Roxrat.12は、WindowsディレクトリーにファイルShell64.exe、WindowsのシステムディレクトリーにファイルZbios.exeとして自己コピーを作成する。Roxrat.12は、Windowsとテキストファイルの起動時にトロイの木馬を実行するように、Windowsレジストリを以下のように変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareCLASSES xtfileshellopencommand
C:Windows System directorybios.exe /NOTEPAD "%1""

 さらに、Roxrat.12は、Windowsの起動時にこのトロイの木馬を実行するように、ファイルwin.ini及びsystem.iniも以下のように変更する。

System.ini
[boot]
shell=Explorer.exe C:Windows directoryShell64.exe

Win.ini
[Windows]
run=C:Windows directoryShell64.exe

 一旦インストールされると、Roxrat.12がリモート攻撃者からのコマンドをTCPポート10666、65000、65010で受信する。接続されると、攻撃者はパスワードやその他の重要なデータの盗用、ローカル設定の変更、ファイル管理の実行、さらなる悪意のあるプログラムのインストール、その他の悪意のある数々の操作を実行できる。

 又、Roxrat.12は、検出を回避するか感染コンピューターへの再攻撃を実行するために、複数のアンチウイルス及びセキュリティ関連のプロセスを無効にする。

別名:
Backdoor.Roxrat.12、Roxrat.12、Roxrat


◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/backdoor.roxrat.12.html ) , Dec. 05, 2002

◆キーワード:
 Trojan: Backdoor

◆分析:
 (iDEFENSE 米国) Roxrat.12は、Roxratトロイの木馬ファミリーの目立たない亜種である。

◆検知方法:
 WindosディレクトリーのファイルShell64.exe及びWindowsシステムディレクトリーのファイルZbios.exeを探す。さらに、トロイの木馬によって作成されたWindowsレジストリキーとファイルsystem.ini及びwin.iniへの変更を探す。

◆リカバリー方法:
 Roxrat.12に関連した全ファイルとWindowsのレジストリキーの変更を全て削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを使用し全通信を監視して管理し、感染したコンピューターからリモート攻撃者によってインストールされた可能性のある全ての悪意のあるプログラムが完全に排除されたことを確認する。全パスワードを変更し、攻撃に対してセキュリティを強化する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。全通信を監視し管理するためにファイアウォールを使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでは、この新しい攻撃用プログラムに対応したアップデートシグニチャファイルを提供している。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【23:47 GMT、12、05、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×