解析者: Erika Bianca Mendoza   
 更新者 : Christopher Daniel So
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 16,896 bytes
タイプ EXE
メモリ常駐 なし
発見日 2011年3月25日
ペイロード ファイルのダウンロード, URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • %System%\mlcqdcsk.dll

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}.{BLOCKED}.220.52/lol2.exe
  • http://{BLOCKED}.{BLOCKED}.220.52/pod.exe
  • http://{BLOCKED}.{BLOCKED}.220.52/spm.exe

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %System Root%\Documents and Settings\Administrator\Local Settings\Temp\spm.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、ダウンロードしたファイルを実行します。

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}myqeg.com/1017000413
  • http://{BLOCKED}.{BLOCKED}.193.20/service/listener.php?affid=50039
  • http://{BLOCKED}.{BLOCKED}.193.20/service/scripts/files/aff_50039.dll
  • http://{BLOCKED}.{BLOCKED}.193.20/service/listener.php?affid=50039
  • http://{BLOCKED}.{BLOCKED}.88.10//srv
  • http://{BLOCKED}.{BLOCKED}.88.10//dll
  • http://{BLOCKED}.{BLOCKED}.193.20/service/scripts/files/aff_50039.dll
  • http://{BLOCKED}.{BLOCKED}.193.138/xxxx_2/MDUwNTZjMDA4fDUwMDM5fDB8M3wxZTd8NS4xIDI2MDAgU1AzLjB8MHwwfHBybjE0

マルウェアは、実行後、自身を削除します。