TROJ_AGENT.ICO
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
マルウェアは、偽のセキュリティ製品をインストールします。 マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。
詳細
侵入方法
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
マルウェアは、以下の無害なファイルを作成します。
- %Documents and Settings%\All Users\Application Data\{random}
- %UserProfile%\Templates\{random}
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*
(註:変更前の上記レジストリ値は、「"%1" %*」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern
(註:変更前の上記レジストリ値は、「Internet Explorer」となります。)
マルウェアは、インストールの過程で以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"
HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile
HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1
HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload
HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application
HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*
偽セキュリティソフト型不正プログラムによる不正活動
マルウェアは、偽のセキュリティ製品をインストールします。
マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。