TROJ_CRYPCTB.YVG
Ransom:Win32/Critroni.B (Microsoft), Trojan.Win32.Filecoder (Ikarus), W32/Filecoder.DA!tr (Fortinet), Win32/Filecoder.DA (ESET-NOD32)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Windows%\Tasks\{7 Random Character 2}.job
- %All Users Profile%\Application Data\{hosts folder}\{7 Random Character 3}
- %User Profile%\My Documents\!Decrypt-All-Files-{7 Random Characters 4}.bmp
- %User Profile%\My Documents\!Decrypt-All-Files-{7 Random Characters 4}.txt
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\{7 Random Character}.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper
Wallpaper = "%User Profile%\My Documents\!Decrypt-All-Files-{7 Random Characters 4}.bmp"
(註:変更前の上記レジストリ値は、「{User Preference}」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"
(註:変更前の上記レジストリ値は、「{User Preference}」となります。)