[ウイルスを観察してみる]バックドア「BKDR_GUPTACHAR.B」:ITpro
(grinさん経由)
ここでも、Process ExplorerやTCPViewを活用されていますね。
Process Explorerの画面ショットを比較すると図5の方で「PID(プロセスID)1552,プロセス名GPTCR2.exe」が追加されていることが確認できる。TCP Viewの画面ショットを比較すると,図7で「PID(プロセスID)1552,プロセス名GPTCR2.exe」がポート8081を開放し,テスト機2 からの通信を待っているのが確認できる。これでバックドアのインストールが完了した。Webサイトを通じて,容易に不正プログラムをインストールさせられてしまうことが分かる。
自動起動設定をシステム構成ユーティリティのスタートアップ・タブから確認してみる(図16)。補足だが,筆者はWindowsの自動起動設定を確認するのにシステム構成ユーティリティの他に「SysinternalsSuite」の「autoruns.exe」「autorunsc.exe」を状況に応じて併用している。