解析者: Rhena Inocencio   
 別名:

Trojan.Win32.Bublik.ycg (Kaspersky)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 リムーバブルドライブを介した感染活動

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 110,592 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年1月4日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Profile%\Application Data\KB{random number}.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

マルウェアは、以下のファイルを作成します。

  • %User Profile%\Application Data\{random folder name}\{random file name}

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\{random folder name}

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random number}.exe = "%User Profile%\Application Data\KB{random number}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\{random value 1}

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\{random value 2}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.61.59:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.102.204:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.188.156:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.68.239:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.174.136:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.17.180:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.226.30:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.156.170:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.109.204:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.147.52:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.30.202:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.23.100:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.100.41:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.73.220:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.94.96:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.221.6:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.19.236:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.89.82:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.107.25:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.237.170:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.229.10:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.113.66:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.120.32:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.250.157:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.100.108:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA
  • http://{BLOCKED}.{BLOCKED}.129.120:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。