解析者: Wilbert Vidal   

 別名:

Gen:Variant.Graftor.477418 (GData); Gen:Variant.Graftor.477418 (B) (Emsisoft); Gen:Variant.Graftor.477418 (BitDefender)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。 マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

  詳細

ファイルサイズ 327,680 bytes
タイプ EXE
発見日 2018年3月19日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %Application Data%\remcos

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

自動実行方法

マルウェアは、以下のファイルを作成します。

  • %Application Data%\remcos\logs.dat

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKCU\Software\Remcos-03OVEJ
EXEpath = DE 4F 07 B3 6C BC E5 09 94 F6 C9 49 1F 7F 12 73 E1 1E 8F 64 42 34 28 BC AF 49 2C 8A 95 E1 B7 DE 5F 98 0A 26 49 A3 D0 1C 17 D8 92 8A 3F 01 8F E8 9A 9C AA F5 F0 A1 F0 8E 5E 24 63 08 B6 06 46 68 79 8D 09 31 2E 81 68 E4 0A 2C 8F 45 2A 91 56 3E 9F F2 02 D2 4D 53 95 53 D6 20 46 86 6D 2C 60 4B

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.227.189:4900