[ウイルスを観察してみる]バックドア「BKDR_GUPTACHAR.B」:ITpro

grinさん経由

ここでも、Process ExplorerやTCPViewを活用されていますね。

Process Explorerの画面ショットを比較すると図5の方で「PID(プロセスID)1552,プロセス名GPTCR2.exe」が追加されていることが確認できる。TCP Viewの画面ショットを比較すると,図7で「PID(プロセスID)1552,プロセス名GPTCR2.exe」がポート8081を開放し,テスト機2 からの通信を待っているのが確認できる。これでバックドアのインストールが完了した。Webサイトを通じて,容易に不正プログラムをインストールさせられてしまうことが分かる。

自動起動設定をシステム構成ユーティリティのスタートアップ・タブから確認してみる(図16)。補足だが,筆者はWindows自動起動設定を確認するのにシステム構成ユーティリティの他に「SysinternalsSuite」の「autoruns.exe」「autorunsc.exe」を状況に応じて併用している。

screenshot