APROPOS

「APROPOS」は、アドウェアとトロイの木馬型マルウェアのファミリで、既に感染したコンピュータに主にルートキット型のマルウェアといったその他のマルウェアをダウンロードするために利用されます。

これにより、さらなるマルウェアの感染が発生します。

インストール

アドウェアは、以下のファイルを作成します。

• %Program Files%\CxtPls\ace.dll
• %User Temp%\~compoundinst0\auto_update_loader.exe
• %Program Files%\CxtPls\AI_12-02-2013.log
• %Program Files%\CxtPls\atl.dll
• %Program Files%\CxtPls\CxtPls.dll
• %Program Files%\CxtPls\CxtPls.exe
• %Program Files%\CxtPls\data.bin
• %Program Files%\CxtPls\libexpat.dll
• %Program Files%\CxtPls\ProxyStub.dll
• %Program Files%\CxtPls\uninstaller.exe
• %Program Files%\CxtPls\WinGenerics.dll
• %system%\ipcir.exe
• %System%\ippdec.exe
• %System%\ipcir.exe

(註：%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

アドウェアは、以下のフォルダを作成します。

• %User Temp%\~compoundinst0
• %Program Files%\CxtPls

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AutoLoaderAproposClient = "{malware path}\{malware name}"

他のシステム変更

アドウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
LoadUrl = "http://download.{BLOCKED}tplus.net/apropos/client/WB.POP/<>/AproposClientInstaller.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
TempFile = "%User Temp%\auf0.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
Parameters =

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
Attempts = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
Trust = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
Total = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient
Downloaded = "{number}"

アドウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Apropos

HKEY_LOCAL_MACHINE\SOFTWARE\Apropos\
Client

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
AproposClient

HKEY_LOCAL_MACHINE\SOFTWARE\AutoLoader\
EnvoloAutoUpdater

HKEY_LOCAL_MACHINE\SOFTWARE\Envolo

ダウンロード活動

アドウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\auf0.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

• http://download.{BLOCKED}tplus.net/apropos/client/WB.POP/1/AproposClientInstaller.exe
• http://download.{BLOCKED}tplus.net/apropos/client/WB.POP/<>/AproposClientInstaller.exe
• http://download.{BLOCKED}tplus.net/shared/AutoUpdaterInstaller.exe
• http://download.{BLOCKED}tplus.net/shared/Msvcp60Installer.exe
• http://{BLOCKED}2.ocslab.com/shared/AutoUpdaterInstaller.exe
• http://{BLOCKED}2.ocslab.com/shared/Msvcp60Installer.exe
• http://{BLOCKED}2.ocslab.com/test/shared/AutoUpdaterInstaller.exe
• http://{BLOCKED}2.ocslab.com/test/shared/Msvcp60Installer.exe