TROJ_BOAXXE.LE

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\bopomofo.uce
• %Windows%\Task\At{random}.job

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}\Parameters
ServiceDll = "{malware path and filename}"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InprocServer32

HKEY_CLASSES_ROOT\CLSID\{GUID}

HKEY_CLASSES_ROOT\{random 1}

HKEY_CLASSES_ROOT\{random 1}\CLSID

HKEY_CLASSES_ROOT\CLSID\{GUID}\
ProgID

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{GUID}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\Enhanced Storage

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}\Parameters

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost\
netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_SRSERVICE\
0000\Control

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InprocServer32
@ = "{malware path and filename}"

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InprocServer32
ThreadingModel = "Apartment"

HKEY_CLASSES_ROOT\{random 1}\CLSID
@ = "{GUID}"

HKEY_CLASSES_ROOT\CLSID\{GUID}\
ProgID
@ = "{random 1}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\Enhanced Storage
@ = "{GUID}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
ImagePath = "%System%\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
Description = "Controller for PnP ISA/EISA Bus"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
DisplayName = "PnP ISA/EISA Bus Controller"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random 2}\Parameters
ServiceMain = "DllRegisterServer"

HKEY_CLASSES_ROOT\CLSID\{GUID}
Version = "64"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_SRSERVICE\
0000\Control
ActiveService = "srservice"

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

• {BLOCKED}e-domain.info
• {BLOCKED}amily.net
• {BLOCKED}ango.com
• {BLOCKED}p.com
• {BLOCKED}832764.com
• {BLOCKED}idge.com
• {BLOCKED}sicte.com
• {BLOCKED}r.com
• {BLOCKED}in.org
• {BLOCKED}e.com
• {BLOCKED}rpitch.net
• {BLOCKED}ord.info
• {BLOCKED}lac.com
• {BLOCKED}hods.com
• {BLOCKED}outer.net