TROJ_DLOADER.YPS
Trojan:Win32/Ircbrute (Microsoft), Trojan Horse (Symantec), W32/Dorkbot-EU (Sophos), Trojan.Win32.Ircbrute (Sunbelt), W32/Blocker.AZAY!tr (Fortinet), Trojan-Dropper.Win32.Injector (Ikarus), Win32/Injector.AERP trojan (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\{random file name}.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\{random file name}.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\{random file name}.exe"
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}le.com/dl/201433197/a76b191/co937ty78934uti.html
- http://{BLOCKED}le.com/dl/201468511/672e785/374844578.html
- http://s374.{BLOCKED}le.com/get/11f2eea923e1d880b13671034f49d8aae291acbe/515e8321/2/501befb7d8fad531/c022a5f/374844578
- http://s612.{BLOCKED}le.com/get/ff0634635d66b2625429bdb650a3dcc0768c0ab7/515e831b/2/cbef13f353d1fb89/c01a06d/co937ty78934uti
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\{random file name 2}.exe
- %User Temp%\{random file name 3}.exe
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- f.{BLOCKEDon.pl
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。