BKDR_ROMBERTIK.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、データを一掃する（wiper）ことで知られており、検出を避けるためハードドライブを一掃するタイプのマルウェアです。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\rsr\yfoye.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

• %Application Data%\rsr\yfoye.bat

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\fgf.vbs

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• www.{BLOCKED}os.org.in/don1/gate.php

その他

マルウェアは、以下のWebブラウザへ自身を挿入し、ユーザのWebブラウザ上での活動を監視します。

• iexplore.exe
• firefox.exe
• chrome.exe

抗セキュリティ対策の機能：

仮想化されたコンピュータにおいて、マルウェアはプロセスのループを実行します。これによりサンドボックスが巨大なログを生成し、コンピュータのクラッシュの原因となる可能性があります。

自身の通常の不正活動の他、マルウェアはファイル名が以下の文字列のいずれかを含む場合、正規のウィンドウを表示します。

• malwar
• file.
• sandb
• viru
• sampl

マルウェアは、抗セキュリティ対策の機能を含んでおり、この機能が開始されると、感染コンピュータのMaster Boot Record (MBR) の上書きを実行します。上書きに失敗した場合、マルウェアは、ユーザのホームディレクトリ内のファイルを暗号化します。これによりコンピュータが使用不要になるか、機能が限定されます。