TROJ_DABVEGI.C
Windows 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、作成したファイルを実行します。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\mkii\win.exe
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
マルウェアは、以下のフォルダを作成します。
- %User Temp%\mkii
- %Program Files%\{random folder name}
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %Program Files%\{random folder name}\xde4444jhc.exe - detected as TROJ_DABVEGI.B
- %Program Files%\{random folder name}\scrypt.exe - detected as TSPY_ZBOT.SMDM
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
マルウェアは、作成したファイルを実行します。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://www.{BLOCKED}hanin.org/bbs/data/fl.zf - detected as TSPY_ZBOT.MDM