TROJ_EXEDOT.SMA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ダウンロードしたファイルを実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、情報収集する機能を備えていません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• TROJ_DROPPER.OMJ

自動実行方法

マルウェアは、以下のレジストリキーを追加し、自身をBrowser Helper Object（BHO）として登録します。これにより、Internet Explorer（IE）が起動するとマルウェアが自動実行されます。

HKEY_CLASSES_ROOT\Interface\{986A8AC1-AB4D-4F41-9068-4B01C0197867}

HKEY_CLASSES_ROOT\TypeLib\{8E3C68CD-F500-4A2A-8CB9-132BB38C3573}

HKEY_CLASSES_ROOT\CLSID\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}

HKEY_CLASSES_ROOT\AppID\{A0E1054B-01EE-4D57-A059-4D99F339709F}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}

HKEY_CLASSES_ROOT\AppID\main.DLL

HKEY_CLASSES_ROOT\main.BHO

HKEY_CLASSES_ROOT\main.BHO.1

マルウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object（BHO）として登録します。これにより、Internet Explorer（IE）が起動するとマルウェアが自動実行されます。

HKEY_CLASSES_ROOT\CLSID\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}\
InProcServer32
(Default) = "{malware path and file name}.dll"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\‚”#˜‚

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• u.{BLOCKED}compile.com
• k.{BLOCKED}xad.com

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random file name}.TMP
• %Current Folder%\{malware name}.sig

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、ダウンロードしたファイルを実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアは、感染コンピュータ上で以下の実行中プロセスを確認し、上記Webサイトに通知します。

• ACAAS.exe
• ACAEGMr.exe
• ACAIS.exe
• ACALS.exe
• ACASP.exe
• AFMain.exe
• AGIDSUI.exe
• ALMon.exe
• ALsvc.exe
• APVXDWIN.EXE
• AVGIDSAgent.exe
• AVGIDSMonitor.exe
• AVGIDSWatcher.exe
• AhnSD.exe
• AhnSDsv.exe
• AluSchedulerSvc.exe
• ApVxdWin.exe
• CAGlobal.exe
• CAGlobalLight.exe
• CAPPActiveProtection.exe
• CCSVCHST.EXE
• CClaw.exe
• CounterSpy.exe
• EMLPROUI.EXE
• EMLPROXY.EXE
• FAMEH32.exe
• FCH32.EXE
• FPAVServer.exe
• FProtTray.exe
• FSM32.EXE
• FSMA32.EXE
• FSMB32.exe
• HFACSvc.exe
• HrRes.exe
• IFace.exe
• ISWSVC.exe
• ITMRTSVC.exe
• K7EmlPxy.exe
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7RTScan.exe
• K7SysMon.exe
• K7SysTry.exe
• K7TSMngr.exe
• K7TSecurity.exe
• MSASCui.exe
• MSProxy.ahn
• McNASvc.exe
• McProxy.exe
• McSACore.exe
• Mcshield.exe
• MpfSrv.exe
• MsMpEng.exe
• Nbrowser.exe
• Nip.exe
• Njeeves.exe
• Nsesvc.exe
• Nvcoas.exe
• ONLINENT.EXE
• ONLNSVC.EXE
• OPSSVC.EXE
• OcHealthMon.exe
• PAVSRV51.EXE
• PPCtlPriv.exe
• PSANHost.exe
• PSHost.exe
• PSUNMain.exe
• PXAgent.exe
• PXConsole.exe
• PavBckPT.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PslmSvc.exe
• QOELoader.exe
• QUHLPSVC.EXE
• RavMon.exe
• RavTask.exe
• RsTray.exe
• SAVAdminService.exe
• SBCSSvc.exe
• SBCSTray.exe
• SCANMSG.EXE
• SCANWSCS.EXE
• SavService.exe
• SfCtlCom.exe
• SpIDerAgent.exe
• SpIDerMI.exe
• TMBMSRV.exe
• TRAYSSER.EXE
• TSCFCommander.exe
• TSCFPlatformCOMSvr.exe
• TmPfw.exe
• TmProxy.exe
• UPSCHD.EXE
• UfNai.exe
• UfSeAgnt.exe
• UfUpdUi.exe
• UmxAgent.exe
• UmxCfg.exe
• UmxFwHlp.exe
• UmxPol.exe
• WEBPROXY.EXE
• WinSSUI.exe
• Zanda.exe
• Zlh.exe
• acs.exe
• ashDisp.exe
• ashMaiSv.exe
• ashServ.exe
• ashWebSv.exe
• aswUpdSv.exe
• avesvc.exe
• avgam.exe
• avgamsvr.exe
• avgas.exe
• avgcc.exe
• avgcsrvx.exe
• avgemc.exe
• avgfws8.exe
• avgnsx.exe
• avgrsx.exe
• avgtray.exe
• avgupd.exe
• avgupsvc.exe
• avgwdsvc.exe
• avgwsvc.exe
• avp.exe
• avpmapp.exe
• avwebgrd.exe
• caavguiscan.exe
• capfasem.exe
• cappactiveprotection.exe
• casc.exe
• casecuritycenter.exe
• cavrid.exe
• ccSvcHst.exe
• ccschedulersvc.exe
• cctray.exe
• drwebscd.exe
• egui.exe
• ekrn.exe
• elogsvc.exe
• forsp.exe
• fsaua.exe
• fsav32.exe
• fsavgui.exe
• fsdfwd.exe
• fsgk32.exe
• fsgk32st.exe
• fsguidll.exe
• fspc.exe
• fsqh.exe
• fssm32.exe
• fsus.exe
• guard.exe
• guardxkickoff.exe
• guardxservice.exe
• guardxup.exe
• hcontain.exe
• hpcsvc.exe
• hsvcmod.exe
• isafe.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• mcshell.exe
• mcsysmon.exe
• mcupdmgr.exe
• mcvsmap.exe
• mcvsshld.exe
• mdmcls32.exe
• msfwsvc.exe
• msksrver.exe
• npcsvc32.exe
• npfsvc32.exe
• npfuser.exe
• nprosec.exe
• nuaa.exe
• nvcsched.exe
• nvoy.exe
• op_mon.exe
• prevx.exe
• psksvc.exe
• qhfw.exe
• rsnetsvr.exe
• seccenter.exe
• spiderml.exe
• spidernt.exe
• spidersgate.exe
• spiderui.exe
• svcprs32.exe
• symlcsvc.exe
• vba32ldr.exe
• vbcmserv.exe
• vbsystry.exe
• vetmsg.exe
• virCatch.exe
• virusutilities.exe
• vrfwsock.exe
• vrfwsvc.exe
• vrmonnt.exe
• vrmonsvc.exe
• vrrepair.exe
• vrscan.exe
• vsmon.exe
• vsserv.exe
• winss.exe
• winssnotify.exe
• xcommsvr.exe
• zlclient.exe

マルウェアは、ルートキット機能を備えていません。