解析者: Abraham Latimer Camba   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、作成されたファイルを実行します。

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %System Root%\ProgramData
  • %System Root%\ProgramData\Microsoft
  • %System Root%\ProgramData\Microsoft\Windows
  • %System Root%\ProgramData\Microsoft\Windows\Common

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DHCPSrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetLog0n

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RegSysapp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SessionService

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SystemSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UDPMon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UPNPUpdate

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"

(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"

(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"

(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"

(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"

(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache4」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %System Root%\ProgramData\Microsoft\Windows\NetCC{number}.dll
  • %System Root%\ProgramData\Microsoft\Windows\QQlive.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、作成されたファイルを実行します。

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}kynx.tuita.com/
  • http://hi.{BLOCKED}u.com/belheiwqiu/rss
  • http://hi.{BLOCKED}u.com/bwhrpbe/rss
  • http://hi.{BLOCKED}u.com/gpocoi55/rss
  • http://hi.{BLOCKED}u.com/gqpgemc/rss
  • http://hi.{BLOCKED}u.com/gqpgemcuwd/rss
  • http://hi.{BLOCKED}u.com/heiwqiu/rss
  • http://hi.{BLOCKED}u.com/ihnv2386/rss
  • http://hi.{BLOCKED}u.com/iwaxsxg/rss
  • http://hi.{BLOCKED}u.com/ocoijxnwkg/rss
  • http://hi.{BLOCKED}u.com/wdxiw894/rss
  • http://hi.{BLOCKED}u.com/wkgbbw73/rss
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/1f0ac9effbedab6430adfd66f736afc378311e56.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/295d531db3de9c82242fba386c81800a18d843dd.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/398e240aa8d3fd1fc6f6679b304e251f94ca5faa.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/398e240aa8d3fd1fc6f6679b304e251f94ca5faa.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/398e240aa8d3fd1fc6f6679b304e251f94ca5faa.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/6651d45a9258d109db8e9d0ed158ccbf6c814d32.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/7614f09f4710b91247873e45c3fdfc03934522e5.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/7614f09f4710b91247873e45c3fdfc03934522e5.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/8204a32bb80e7bec062cc75c2f2eb9389a506bb7.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/82de34e95266d0168e92b18f972bd40734fa35a3.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/c8882b633912b31bf89d7d8f8618367adbb4e1b9.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/ec2993cba9ec8a1313d61c46f703918fa1ecc066.jpg
  • http://hiphotos.{BLOCKED}u.com/upupupqw/pic/item/f2518b37dd54564ed3cdf798b3de9c82d0584f84.jpg
  • http://{BLOCKED}ahpqh.tuita.com/
  • http://{BLOCKED}rruym.tuita.com/
  • http://{BLOCKED}bdzzr.tuita.com/
  • http://t.{BLOCKED}e.com.cn/fxqpzokynx
  • http://t.{BLOCKED}e.com.cn/ifakcyahpqh
  • http://www.{BLOCKED}o.com/microblog/profile/url.htm?domain=fxqpzokynx
  • http://www.{BLOCKED}o.com/microblog/profile/url.htm?domain=ifakcyahpqh
  • http://www.{BLOCKED}o.com/microblog/profile/url.htm?domain=jkmxyarruym
  • http://www.{BLOCKED}o.com/microblog/profile/url.htm?domain=ybvjw135
  • http://www.{BLOCKED}o.com/microblog/pub/index.htm
  • http://{BLOCKED}35.tuita.com/