説明

トロイの木馬 Backdoor.Haxdoor です。

関連ファイル

* %System%w32tm.exe * %System%drct16.dll * %System%cz.dll * %System%vdmt16.sys * %System%hz.dll * %System%winlow.sys * %System%wz.dll * %System%p2.ini

追加/変更される値

\"Secboot\" = \"w32tm.exe\" この値を Windows スタートアップ レジストリ キーに追加します。
サービス名 \"memlow\" ドライバ \"vdmt16\"をレジスタに追加します。
次の値を追加します: \"StackSize\" = \"21:10\" \"Impersonate\" = \"[TIMESTAMP]\" 次のレジストリキーに追加します: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control また次の値 \"hws\" = \"[0xRandom]\" を以下のレジストリ キーに追加します: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion また次の値 \"EnforceWriteProtect\" = \"0\"
を以下のレジストリ キーに追加します:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Session Manager\\Memory Management 不正なメモリ改ざんをチェックするカーネルを無効にしトロイの木馬がメモリの一部を改ざんできるようにします。
Windows 95/98/Me コンピュータでは次の値を改変します: \"DllName\" = \"draw32.dll\" \"EntryPoint\" = \"MedManager\" \"StackSize\" = \"0\" 次のレジストリキーに追加します: HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\MPRServices\\ TestService
Windows 2000/NT/XP コンピュータでは次の値を改変します: \"DllName\" = \"drct16.dll\" \"Startup\" = \"MedManager\" \"Impersonate\" = \"dword:00000001\" \"Asynchronous\" = \"dword:00000001\" \"MaxWait\" = \"dword:00000001\" これらの値を次のレジストリ キーに追加します: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\drct16 TCP ポート 16661 と、二つのそれ以降のランダムポートを開いて遠隔攻撃者からの命令を待機します。 パスワードを盗みます。

削除方法

サービス \"memlow\" を停止し、 Start Control を使用してオートランを無効にしてください。 RegRun AntiSpyware を開き、 Winlogon Notification を取得してくだい。
\"drct16\" または \"TestService\" を削除してください。
w32tm.exe プロセスを RegRun Terminator を使用して終了してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2005/11/04 (Fri)