解析者: Abraham Latimer Camba   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2012年5月8日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %System Root%\Documents and Settings\All Users\Application Data\{Random Name 1}.exe
  • %System Root%\Documents and Settings\All Users\Application Data\{Random Name 2}.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のファイルを作成します。

  • %Desktop%\Data_Recovery.lnk
  • %Start Menu%\Programs\Data Recovery\Data Recovery.lnk
  • %Start Menu%\Programs\Data Recovery\Uninstall Data Recovery.lnk
  • %System Root%\Documents and Settings\All Users\Application Data\{Random Name 2}
  • %System Root%\Documents and Settings\All Users\Application Data\-{Random Name 2}
  • %System Root%\Documents and Settings\All Users\Application Data\-{Random Name 2}r
  • %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Data_Recovery.lnk

(註: %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

マルウェアは、以下のフォルダを作成します。

  • %Start Menu%\Programs\Data Recovery
  • %User Temp%\smtmp
  • %User Temp%\smtmp\1
  • %User Temp%\smtmp\2

(註: %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Random Name 1}.exe = "%System Root%\Documents and Settings\All Users\Application Data\{Random Name 1}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Taskband

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders\New

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{Random Name 2}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{Random Name 2}\
DEBUG

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software
pth = "{hex values}"

HKEY_CURRENT_USER\Software
0df15996-87ec-4c84-a01b-a82c457edea3 =

HKEY_CURRENT_USER\Software
nsreg = "{hex values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
EnableAutoTray = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowMyDocs = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowPrinters = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowSearch = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowRecentDocs = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowRun = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowMyPics = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowMyGames = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowNetConn = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowNetPlaces = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowMyMusic = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowHelp = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowControlPanel = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowSetProgramAccessAndDefaults = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowMyComputer = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Start_ShowUser = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
TaskbarGlomming = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
TaskbarGlomLevel = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Taskband
_Favorites = "{hex values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
HidNoChangingWallPaperden = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypess = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr; "

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDesktop = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnonBadCertRecving = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
CertificateRevocation = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{Random Name 2}\
DEBUG
Trace Level = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "0"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "No"

(註:変更前の上記レジストリ値は、「Yes」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\WinTrust\
Trust Providers\Software Publishing
State = "23e00"

(註:変更前の上記レジストリ値は、「23c00」となります。)

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

  • http://{BLOCKED}cub.com/support/s
  • http://{BLOCKED}oneca.com/support/s
  • http://{BLOCKED}reator.com/support/s
  • http://{BLOCKED}ycom.com/support/s
  • http://{BLOCKED}adebima.com/support/s

その他

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアは、物理ドライブ内のすべてのファイルの属性を「隠しファイル」に設定します。

マルウェアは、以下のフォルダ内のすべてのファイルを移動します。

  • 「%System Root%\Documents and Settings\All Users\Start Menu」内のすべてのファイルを「%User Temp%\smtmp\1」に移動
  • 「%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch」内のすべてのファイルを「%User Temp%\smtmp\2」に移動

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.982.01
初回 VSAPI パターンリリース日 2012年5月9日
VSAPI OPR パターンバージョン 8.983.00
VSAPI OPR パターンリリース日 2012年5月9日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください