Backdoor.Win32.DarkKomet

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Backdoor

バックドアは、悪意のあるユーザーが感染したコンピュータをリモートコントロールできるように設計されています。機能性の面では、バックドアはソフトウェア開発者が設計し配布する多くの管理システムに似ています。これらの種類の悪質なプログラムは、ファイルの送受信、ファイルの起動や削除、メッセージの表示、データの削除、コンピュータの再起動など、感染したコンピュータ上で必要な作業を可能にします。このカテゴリのプログラムは、被害者のコンピュータのグループを結びつけ、ボットネットまたはゾンビネットワークを形成するためです。これにより、悪意のあるユーザーは感染したコンピュータの軍隊を集中管理し、犯罪目的で使用することができます。 Net-Wormのように、ネットワークを介して拡散して他のコンピュータに感染することができるバックドアのグループもあります。違いは、このようなBackdoorは（Net-Wormのように）自動的に広がるのではなく、それらを制御する悪意のあるユーザーからの特別な「コマンド」に限られるということです。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

このファミリのマルウェアは、被害者のコンピュータを遠隔操作または管理するために設計されたDarkCometというプログラムで構成されています。接続パラメータは、プログラムの実行可能クラス= "most_attacked_countries"で暗号化されています。プログラムは次の機能を実行します。

• 感染したコンピュータに関する情報の入手。
• プロセスの制御
• リモートで送信されたコマンドの解釈。
• ウィンドウのリストを取得する。
• リモートデスクトップアクセスを提供する。
• プログラムの削除
• システムサービスの管理。
• システムレジストリの変更。
• リモートでJavaScript / VBScriptスクリプトを実行しています。
• 組み込みのファイルマネージャを使用してファイルを変更する。
• ウェブカメラまたはマイクからビデオとオーディオをキャプチャする。
• キーストロークをファイルに保存します（キーストローク情報は暗号化されず、名前フォーマットYY-MM-DD.dcのファイルの％APPDATA％dclogsフォルダに保存されます）。
• SOCKSプロキシサーバーとして機能する。
• IPアドレスとポートのリダイレクト。
• クリップボードの内容をキャプチャします。
• オペレーティングシステムをシャットダウンして再起動する。
• ファイルのダウンロード、送信、実行。
• キーストロークログをリモートFTPサーバーに送信します。

攻撃されたユーザーが最も多い上位10カ国（総攻撃の割合）

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com