解析者: Mark Joseph Manahan   
 別名:

Trojan horse BackDoor.Generic18.RMP (Sophos) ,Backdoor.Win32.Qakbot (F-Secure) ,Backdoor:Win32/Qakbot (Kaspersky) ,Win32/Qbot.BB trojan (McAfee) ,W32.Qakbot (Eset) ,Backdoor.Win32.Qakbot (Panda)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 282,624 bytes
タイプ EXE
発見日 2014年2月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Windows%\Tasks\{random}.job

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\Application Data\Microsoft\{random}\{random}.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\Microsoft\{random}

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}auskmt.pw
  • {BLOCKED}theusas.org
  • {BLOCKED}cmasn.net
  • {BLOCKED}skdfasjdmtf.org
  • {BLOCKED}psgrn.com
  • {BLOCKED}tmaksjdo.net
  • {BLOCKED}aqmi.net
  • {BLOCKED}akyat.org
  • {BLOCKED}hatdfsaf.net
  • {BLOCKED}geyaihudmn.org
  • {BLOCKED}ukahdmansgip.org
  • {BLOCKED}fdnaetra.net
  • http://{BLOCKED}oasset.{BLOCKED}ite.net/Repository/CampaignCreative/Campaign_16474/INSTREAMAD/KRWT0565H_Chili_Pot_Non-New.flv
  • {BLOCKED}.{BLOCKED}.135.19:8080
  • ajax.{BLOCKED}izzade.com