解析者: Augusto II Remillano   
 別名:

Win32/Somoto.D (NOD32), Downloader.Win32.Somato.h (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    潜在的に迷惑なアプリケーション

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 196,376 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年11月6日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %User Temp%\nsw{random}.tmp\modern-header.bmp
  • %User Temp%\nsw{random}.tmp\modern-wizard.bmp
  • %User Temp%\nsw{random}.tmp\nsDialogs.dll
  • %User Temp%\nsw{random}.tmp\filesfrog-visible.rtf
  • %User Temp%\nsw{random}.tmp\System.dll
  • %AppDataLocal%\FilesFrog Update Checker\uninstall.exe
  • %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker\Check for Updates.lnk
  • %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker\Uninstall.lnk
  • %Desktop%\Check for Updates.lnk
  • %AppDataLocal%\FilesFrog Update Checker\update_checker.exe

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

プログラムは、以下のフォルダを作成します。

  • %AppDataLocal%\FilesFrog Update Checker
  • %User Temp%\nsw{random}.tmp
  • %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SDP = "%AppDataLocal%\FilesFrog Update Checker\update_checker.exe /auto"

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker

HKEY_CURRENT_USER\Software\Somoto

HKEY_CURRENT_USER\Software\Somoto\
SDP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open\
command

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\sdp

プログラムは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
DisplayName = "FilesFrog Update Checker"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
DisplayIcon = "%AppDataLocal%\FilesFrog Update Checker\uninstall.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
UninstallString = "%AppDataLocal%\FilesFrog Update Checker\uninstall.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
NoRepair = "1"

HKEY_CURRENT_USER\Software\Somoto\
SDP
flags = "32"

HKEY_CURRENT_USER\Software\Somoto\
SDP
nc = "{hex value}"

HKEY_CURRENT_USER\Software\Somoto\
SDP
affid = "filesfrogvisible"

HKEY_CURRENT_USER\Software\Somoto\
SDP
muid = "{UID}"

HKEY_CURRENT_USER\Software\Somoto\
SDP
uid = "{UID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp
(Default) = "URL:SDP Protocol"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp
URL Protocol = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open\
command
(Default) = ""%AppDataLocal%\FilesFrog Update Checker\update_checker.exe"/protocol %1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\sdp
WarnOnOpen = "0"

HKEY_CURRENT_USER\Software\Somoto\
SDP
nc = "{hex value}"

HKEY_CURRENT_USER\Software\Somoto\
SDP
flags = "36"

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}k.{BLOCKED}date.com/get_list?uid={UID}&muid={UID}&user_interval=24&v=4.3.0&c=0&affid=filesfrogvisible&manual=1&t=0