解析者: Homer Pacag   

 別名:

Trojan:Win32/Dynamer!ac (Microsoft);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 437,554 bytes
タイプ EXE
発見日 2015年5月13日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Application Data%\{random file name}.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

  • %Application Data%\key.dat
  • %Application Data%\log.html ->list of encrypted files
  • %User Profile%\My Documents\RECOVERY_FILE.TXT
  • {File path of encrypted files}\HELP_TO_SAVE_FILES.txt ->ransom note
  • %User Profile%\Desktop\HELP_TO_SAVE_FILES.bmp ->ransom wallpaper
  • %User Profile%\Desktop\Save_Files.lnk ->shortcut of itself

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AVrSvc = "%Application Data%\{random file name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AVrSvc = "%Application Data%\{random file name}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\Desktop\HELP_TO_SAVE_FILES.bmp"

(註:変更前の上記レジストリ値は、「{User defined}」となります。)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://ipinfo.io/ip

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}f7s4regu6hn.dlosrngis35.com/ping.php
  • {BLOCKED}jf7s4regu6hn.anfeua74x36.com/ping.php
  • {BLOCKED}jf7s4regu6hn.tor2web.blutmagie.de:443
  • {BLOCKED}4jf7s4regu6hn.tor2web.org:443

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • sql
  • mp4
  • 7z
  • rar
  • m4a
  • wma
  • avi
  • wmv
  • csv
  • d3dbsp
  • zip
  • sie
  • sum
  • ibank
  • t13
  • t12
  • qdf
  • gdb
  • tax
  • pkpass
  • bc6
  • bc7
  • bkp
  • qic
  • bkf
  • sidn
  • sidd
  • mddata
  • itl
  • itdb
  • icxs
  • hvpl
  • hplg
  • hkdb
  • mdbackup
  • syncdb
  • gho
  • cas
  • svg
  • map
  • wmo
  • itm
  • sb
  • fos
  • mov
  • vdf
  • ztmp
  • sis
  • sid
  • ncf
  • menu
  • layout
  • dmp
  • blob
  • esm
  • vcf
  • vtf
  • dazip
  • fpk
  • mlx
  • kf
  • iwd
  • vpk
  • tor
  • psk
  • rim
  • w3x
  • fsh
  • ntl
  • arch00
  • lvl
  • snx
  • cfr
  • ff
  • vpp_pc
  • lrf
  • m2
  • mcmeta
  • vfs0
  • mpqge
  • kdb
  • db0
  • dba
  • rofl
  • hkx
  • bar
  • upk
  • das
  • iwi
  • litemod
  • asset
  • forge
  • ltx
  • bsa
  • apk
  • re4
  • sav
  • lbf
  • slm
  • bik
  • epk
  • rgss3a
  • pak
  • big
  • wallet
  • wotreplay
  • xxx
  • desc
  • py
  • m3u
  • flv
  • js
  • css
  • rb
  • png
  • jpeg
  • txt
  • p7c
  • p7b
  • p12
  • pfx
  • pem
  • crt
  • cer
  • der
  • x3f
  • srw
  • pef
  • ptx
  • r3d
  • rw2
  • rwl
  • raw
  • raf
  • orf
  • nrw
  • mrwref
  • mef
  • erf
  • kdc
  • dcr
  • cr2
  • crw
  • bay
  • sr2
  • srf
  • arw
  • 3fr
  • dng
  • jpe
  • jpg
  • cdr
  • indd
  • ai
  • eps
  • pdf
  • pdd
  • psd
  • dbfmdf
  • wb2
  • rtf
  • wpd
  • dxg
  • xf
  • dwg
  • pst
  • accdb
  • mdb
  • pptm
  • pptx
  • ppt
  • xlk
  • xlsb
  • xlsm
  • xlsx
  • xls
  • wps
  • docm
  • docx
  • doc
  • odb
  • odc
  • odm
  • odp
  • ods
  • odt

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {Original Filename}.exx

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。