更新者 : Mark Joseph Manahan

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 249,856 bytes
タイプ EXE
発見日 2012年6月8日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %System Root%\Documents And Settings\All Users\Application Data\{Random Name}.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のファイルを作成します。

  • %Desktop%\Data_Recovery.lnk
  • %Start Menu%\Programs\Data Recovery\Data Recovery.lnk
  • %Start Menu%\Programs\Data Recovery\Uninstall Data Recovery.lnk
  • %System Root%\Documents And Settings\All Users\Application Data\{Random Name}
  • %System Root%\Documents And Settings\All Users\Application Data\-{Random Name}
  • %System Root%\Documents And Settings\All Users\Application Data\-{Random Name}r
  • %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Data_Recovery.lnk

(註: %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %Start Menu%\Programs\Data Recovery

(註: %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}\
DEBUG

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnonBadCertRecving = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
CertificateRevocation = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Policies\Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}\
DEBUG
Trace Level = ""

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "No"

(註:変更前の上記レジストリ値は、「Yes」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1601 = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\WinTrust\
Trust Providers\Software Publishing
State = "23e00"

(註:変更前の上記レジストリ値は、「23c00」となります。)

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

  • http://{BLOCKED}stgolfc.com.com/support/s
  • http://{BLOCKED}sard.com.com/support/s
  • http://{BLOCKED}elar.com.com/support/s
  • http://{BLOCKED}uinesc.com/support/s
  • http://{BLOCKED}fite.com/support/s

その他

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。