HackTool.Win32.Lazagne.AD

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のプロセスを追加します。

• "{malware file path and name}"
• cmd.exe /c "reg.exe save hklm\security %User Temp%\usmhwejf"
• cmd.exe /c "reg.exe save hklm\system %User Temp%\reotlzkaylo"
• cmd.exe /c "reg.exe save hklm\sam %User Temp%\waqzeo"
• powershell.exe /c " function get-iehistory { [CmdletBinding()] param () $shell = New-Object -ComObject Shell.Application $hist = $shell.NameSpace(34) $folder = $hist.Self $hist.Items() | foreach { if ($_.IsFolder) { $siteFolder = $_.GetFolder $siteFolder.Items() | foreach { $site = $_ if ($site.IsFolder) { $pageFolder = $site.GetFolder $pageFolder.Items() | foreach { $visit = New-Object -TypeName PSObject -Property @{ URL = $($pageFolder.GetDetailsOf($_,0)) } $visit } } } } } } get-iehistory "
• reg.exe save hklm\security %User Temp%\usmhwejf
• reg.exe save hklm\system %User Temp%\reotlzkaylo
• reg.exe save hklm\sam %User Temp%\waqzeo

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

プログラムは、以下のフォルダを作成します。

• %AppDataLocal%\Microsoft\Windows\History
• %User Temp%\_MEI16842
• %User Temp%\_MEI16842\Include

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

作成活動

プログラムは、以下のファイルを作成します。

• %User Temp%\_MEI16842\getall.exe.manifest
• %User Temp%\wp1l9v
• %User Temp%\_MEI16842\_ctypes.pyd
• %User Temp%\_MEI16842\Microsoft.VC90.CRT.manifest
• %User Temp%\_MEI16842\_sqlite3.pyd
• %User Temp%\_MEI16842\bz2.pyd
• %User Temp%\_MEI16842\msvcm90.dll
• %User Temp%\_MEI16842\select.pyd
• %User Temp%\waqzeo
• %User Temp%\tsipimtak
• %User Temp%\_MEI16842\sqlite3.dll
• %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\signons.sqlite
• %User Temp%\_MEI16842\_ssl.pyd
• %User Temp%\_MEI16842\_socket.pyd
• %User Temp%\_MEI16842\_multiprocessing.pyd
• %User Temp%\_MEI16842\pywintypes27.dll
• %User Temp%\_MEI16842\msvcp90.dll
• %User Temp%\_MEI16842\Include\pyconfig.h
• %User Temp%\_MEI16842\_hashlib.pyd
• %User Temp%\usmhwejf
• %User Temp%\reotlzkaylo
• %User Temp%\_MEI16842\_elementtree.pyd
• %User Temp%\_MEI16842\python27.dll
• %User Temp%\_MEI16842\unicodedata.pyd
• %User Temp%\_MEI16842\msvcr90.dll
• %User Temp%\_MEI16842\pyexpat.pyd
• %User Temp%\_MEI16842\win32pipe.pyd

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

このウイルス情報は、自動解析システムにより作成されました。