TROJ_CRYPWALL.SBQ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、感染コンピュータ上の特定の情報を収集します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Desktop%\DECRYPT_INSTRUCTION.TXT
• %Desktop%\DECRYPT_INSTRUCTION.HTML
• %Desktop%\DECRYPT_INSTRUCTION.URL
• %User Startup%\DECRYPT_INSTRUCTION.TXT
• %User Startup%\DECRYPT_INSTRUCTION.HTML
• %User Startup%\DECRYPT_INSTRUCTION.URL

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\{7 characters from UID}\{7 characters from UID}.exe
• %Application Data%\{7 characters from UID}.exe
• %User Startup%\{7 characters from UID}.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のフォルダを作成します。

• %System Root%\{7 characters from UID}

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
011446689ABBBCFF

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{UID}\
011446689ABBBCFF
{Filename of encrypted file} = {hex values}

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• Unique Identifier (UID)
• Machine Screenshot

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}an.com/img3.php
• {BLOCKED}seoservices.com.au/img5.php
• {BLOCKED}lmembers.com/img4.php
• {BLOCKED}ine-club.net/img3.php
• {BLOCKED}dna.com/img1.php
• {BLOCKED}egroup.net/img5.php
• {BLOCKED}obs.com/img4.php
• {BLOCKED}an.com/img3.php
• {BLOCKED}nedseniordogfood.com/img2.php
• {BLOCKED}doligames.org/img1.php
• {BLOCKED}e-angela.com/img5.php
• {BLOCKED}esof.com/img4.php
• {BLOCKED}yvideosonline.net/img2.php
• {BLOCKED}nwashlaundry.com/wp-content/img1.php
• {BLOCKED}olutions.net/img5.php
• {BLOCKED}t-score-repair-help.com/img4.php
• {BLOCKED}shersreviews.org/img3.php
• {BLOCKED}track.com/img2.php
• {BLOCKED}ivoplasma.com/televisa/img1.php
• {BLOCKED}sort.net/img2.php
• {BLOCKED}tichluy.net/utf.php
• {BLOCKED}osiski.com/img5.php
• {BLOCKED}inithere.com/tools/img2.php
• {BLOCKED}tainblowdri.com/img4.php
• {BLOCKED}ksbo.org/img5.php
• {BLOCKED}realestateinvestor.com/img1.php
• {BLOCKED}valdakariri.net/img2.php
• {BLOCKED}bsm.net/img4.php
• {BLOCKED}glawoffice.com/img1.php
• {BLOCKED}lymedia.az/img2.php
• {BLOCKED}esigninc.net/img3.php
• {BLOCKED}ns.com/img4.php
• {BLOCKED}u.com/img5.php
• {BLOCKED}usmetalsrarecoininvestments.com/img2.php
• {BLOCKED}mleaparchitects.com/img4.php
• {BLOCKED}siondock.com/img2.php
• {BLOCKED}niainsuranceco.com/img4.php