TROJ_BOHU.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\ipconfig.txt
• %Application Data%\MyIEDat\main.ini
• %Application Data%\NetHome\main.ini
• %Desktop%\uuse-5905.exe
• %User Temp%\nsb42.tmp\InstallOptions.dll
• %User Temp%\nsb42.tmp\ioSpecial.ini
• %User Temp%\nsb42.tmp\modern-wizard.bmp
• %User Temp%\nsz3F.tmp\Math.dll
• %User Temp%\~nsu.tmp\Au_.exe
• %Program Files%\baidu\dsop7.xml
• %Program Files%\baidu\msfsg.exe
• %Program Files%\baidu\tempnethome18.ini
• %Program Files%\baidu\uninst18.exe
• %System%\nethome32.dll
• %System%\netplayone\MyIEData
• %System%\netplayone\MyIEData\main.ini
• %System%\netplayone\MyIEDataSysDat.bin
• %System%\netplayone\netplayone.dll
• %System%\drivers\siglow.dll
• %System%\drivers\siglow.sys

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

• %Program Files%\baidu
• %User Temp%\nsz3F.tmp
• %User Temp%\nsb42.tmp
• %Application Data%\MyIEData
• %Application Data%\NetHome
• %System%\netplayone
• %User Temp%\~nsu.tmp

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\siglow
DisplayName = "siglow Miniport"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\siglow
ImagePath = "%System%\drivers\siglow.sys"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetHomeIDE
Description = "NetHomeIDE Audit Service."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetHomeIDE
ImagePath = "%System%\svchost.exe -k mysysgroup3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
mysysgroup3 = "NetHomeIDE"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\speednet_sph
PathName = "%System%\netplayone\netplayone.dll"

マルウェアは、インストールの過程で以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\gameplayer
(Default) = "08741501213154947354507"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}j.{BLOCKED}e.cn
• {BLOCKED}q.com
• {BLOCKED}.{BLOCKED}e.cn