【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬 | ScanNetSecurity
2025.03.25(火)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬

◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステ

国際
115 views
◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステムを搭載した他のコンピューターに拡散する。このトロイの木馬は、Borland Delphiプログラミング言語で記述されている。

 Roxrat.12は、WindowsディレクトリーにファイルShell64.exe、WindowsのシステムディレクトリーにファイルZbios.exeとして自己コピーを作成する。Roxrat.12は、Windowsとテキストファイルの起動時にトロイの木馬を実行するように、Windowsレジストリを以下のように変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareCLASSES xtfileshellopencommand
C:Windows System directorybios.exe /NOTEPAD "%1""

 さらに、Roxrat.12は、Windowsの起動時にこのトロイの木馬を実行するように、ファイルwin.ini及びsystem.iniも以下のように変更する。

System.ini
[boot]
shell=Explorer.exe C:Windows directoryShell64.exe

Win.ini
[Windows]
run=C:Windows directoryShell64.exe

 一旦インストールされると、Roxrat.12がリモート攻撃者からのコマンドをTCPポート10666、65000、65010で受信する。接続されると、攻撃者はパスワードやその他の重要なデータの盗用、ローカル設定の変更、ファイル管理の実行、さらなる悪意のあるプログラムのインストール、その他の悪意のある数々の操作を実行できる。

 又、Roxrat.12は、検出を回避するか感染コンピューターへの再攻撃を実行するために、複数のアンチウイルス及びセキュリティ関連のプロセスを無効にする。

別名:
Backdoor.Roxrat.12、Roxrat.12、Roxrat


◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/backdoor.roxrat.12.html ) , Dec. 05, 2002

◆キーワード:
 Trojan: Backdoor

◆分析:
 (iDEFENSE 米国) Roxrat.12は、Roxratトロイの木馬ファミリーの目立たない亜種である。

◆検知方法:
 WindosディレクトリーのファイルShell64.exe及びWindowsシステムディレクトリーのファイルZbios.exeを探す。さらに、トロイの木馬によって作成されたWindowsレジストリキーとファイルsystem.ini及びwin.iniへの変更を探す。

◆リカバリー方法:
 Roxrat.12に関連した全ファイルとWindowsのレジストリキーの変更を全て削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを使用し全通信を監視して管理し、感染したコンピューターからリモート攻撃者によってインストールされた可能性のある全ての悪意のあるプログラムが完全に排除されたことを確認する。全パスワードを変更し、攻撃に対してセキュリティを強化する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。全通信を監視し管理するためにファイアウォールを使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでは、この新しい攻撃用プログラムに対応したアップデートシグニチャファイルを提供している。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【23:47 GMT、12、05、2002】
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×