解析者: Homer Pacag   

 別名:

Backdoor:Win32/Fynloski.A (Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 573,952 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年10月2日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Profile%\My Documents\MSDCSC\msdcsc.exe
  • %User Temp%\MC CRACKED.EXE

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\e4jD.tmp_dir\exe4jlib.jar
  • %User Temp%\e4jD.tmp_dir\i4jdel.exe
  • %User Temp%\e4jD.tmp_dir\MinecraftSP.jar
  • %User Temp%\e4jE.tmp_dir\exe4jlib.jar
  • %User Temp%\e4jE.tmp_dir\i4jdel.exe
  • %User Temp%\e4jE.tmp_dir\MinecraftSP.jar
  • %User Temp%\e4jF.tmp_dir\exe4jlib.jar
  • %User Temp%\e4jF.tmp_dir\i4jdel.exe;
  • %User Temp%\e4jF.tmp_dir\MinecraftSP.jar
  • %User Temp%\dclogs\{YYYY-MM-DD-S}.dc

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\My Documents\MSDCSC
  • %User Temp%\e4jD.tmp_dir
  • %User Temp%\e4jE.tmp_dir
  • %User Temp%\e4jF.tmp_dir
  • %User Temp%\dclogs\

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
MicroUpdate = %User Profile%\My Documents\My Documents\MSDCSC\msdcsc.exe

HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
UserInit = %System%\userinit.exe,%User Profile%\My Documents\MSDCSC\msdcsc.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKCU\Software\DC3_FEXEC

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.155.100