PUA_ELEX.GA

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

• %All Users Profile%\Documents\report.dat
• {malware path}\Download.ini
• %Program Files%\WinSaber\SaberSvcLog.log
• %Program Files%\WinSaber\WinSaber.exe

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

プログラムは、以下のフォルダを作成します。

• %Program Files%\WinSaber

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\FirefoxDL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\winsaber

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc

プログラムは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
ImagePath = "{malware path}\wwch.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
DisplayName = "Install Service(GoldlarryDL)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
Description = "To ensure browser softwareinstallation is completed.This service uninstallsitself after browsersoftware installed."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\GoldlarryDL
DelayedAutostart = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\FirefoxDL
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\FirefoxDL
ImagePath = "{malware path}\wwff.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\FirefoxDL
DisplayName = "Install Service(FirefoxDL)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\winsaber
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\winsaber
ImagePath = "%Program Files%\WinSaber\WinSaber.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\winsaber
DisplayName = "winsaber"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
svcpath = "%Program Files%\WinSaber\"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
guid = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
sid = "saber"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
pid = "wzp0718"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
version = "1.0.12"

HKEY_LOCAL_MACHINE\SOFTWARE\WinSaberSvc
lasttime = "0"

その他

プログラムは、以下の不正なWebサイトにアクセスします。

• http://awskohg.{BLOCKED}dapi.com/cl/downloader?version={value}&channel={value}&d={value}&userid={value}&src={value}
• http://cloud.{BLOCKED}x1.com/cl/downloader?version={value}&channel={value}&d={value}&userid={value}&src={value}
• http://clouda.{BLOCKED}x1.com/cl/downloader?version={value}&channel={value}&d={value}&userid={value}&src={value}
• http://d10s59hdinqmqq.{BLOCKED}ront.net/v4/sof-pbd-dl/{value}?action={value}
• http://d1qjc90738otwj.{BLOCKED}ront.net/Request2/checkins?uid={value}&sid={value}
• http://d1wmnlsnh8rftl.{BLOCKED}ront.net/v4/winzippers/{value}?action={value}
• http://d1y16dfgr0scek.{BLOCKED}ront.net/v4/sofclean/{value}?action={value}
• http://xa.{BLOCKED}x1.com/v4/ffffff/{value}?action0={value}&action1={value}&action2={value}&update0={value}&update1={value}&update2={value}
• https://cloud.{BLOCKED}um.net/cl/downloader?version={value}&channel={value}&d={value}&userid={value}&sys={value}