TROJ_CROWTI.IVZ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• %System Root%\{7 characters from UID}

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のファイルを作成します。

• %User Startup%\DECRYPT_INSTRUCTION.TXT
• %User Startup%\DECRYPT_INSTRUCTION.HTML
• %User Startup%\INSTALL_TOR.URL

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

マルウェアは、以下のファイルを作成し実行します。

• %Desktop%\DECRYPT_INSTRUCTION.TXT
• %Desktop%\DECRYPT_INSTRUCTION.HTML
• %Desktop%\INSTALL_TOR.URL

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\デスクトップ" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\{7 characters from UID}\{7 characters from UID}.exe
• %Application Data%\{7 characters from UID}.exe
• %User Startup%\{7 characters from UID}.exe

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{UID}\
{random}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{UID}\
{random}
{encrypted file path and name} = "{random}"

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}artner.cz/o5l5ujx2f
• http://{BLOCKED}olio.{BLOCKEDullman.ca/blog/eo7ycomyy
• http://www.{BLOCKED}erda.com/blog-trabajos/n65dj17i1836
• http://www.{BLOCKED}singcruising.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
• http://www.{BLOCKED}eumann.de/z6lub76lz295x
• http://www.{BLOCKED}ttringen.de/wordpress/3uh2e
• http://www.{BLOCKED}schwarzenberg.de/wp-content/themes/fdp-asz/vrf8iu
• http://www.{BLOCKED}woman.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
• http://www.{BLOCKED}tstepsphotography.co.uk/blog/f040z4d5d21z5rd
• http://www.{BLOCKED}skaforeningen.com/wp-content/themes/jarrah/ghd4vowtha0s.bin
• http://www.{BLOCKED}ifesupport.com/5gr4hl2tvv
• http://www.{BLOCKED}s.or.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
• http://www.{BLOCKED}ole.be/s5eroewr
• http://www.{BLOCKED}wnguild.com/u2m8bbkln3fqpe
• http://www.{BLOCKED}huainfo.com/wp-content/themes/mh/3sbgwh
• http://www.{BLOCKED}terburg.ch/wordpress/f0k1ats
• http://www.{BLOCKED}orideal.com.br/site/hr38xc4
• http://www.{BLOCKED}-times.com/l449jbc0
• http://www.{BLOCKED}ntiques.co.uk/blog/c8w5kp1
• http://www.{BLOCKED}yapmak.com/kf4bv

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .pdf
• .pdf
• .pot
• .pot
• .hta
• .xlt
• .xlt
• .pps
• .pps
• .xlw
• .xlw
• .dot
• .dot
• .rtf
• .rtf
• .ppt
• .ppt
• .xls
• .xls
• .doc
• .doc
• .xml
• .xml
• .htm
• .htm
• .html
• .html
• .hta
• .zip
• .dvr-ms
• .wvx
• .wmx
• .wmv
• .wm
• .mpv2
• .mpg
• .mpeg
• .mpe
• .mpa
• .mp2v
• .mp2
• .m1v
• .IVF
• .asx
• .asf
• .wax
• .snd
• .rmi
• .m3u
• .au
• .aiff
• .aifc
• .aif
• .midi
• .mid
• .wma
• .wav
• .mp3
• .wmf
• .tiff
• .tif
• .rle
• .png
• .jpeg
• .jpe
• .jpg
• .jfif
• .ico
• .gif
• .emf
• .dib
• .bmp