TROJ_FAKEAV.VXA
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %User Profile%\Application Data\Antivirus Protection\IcoActivate.ico
- %User Profile%\Application Data\Antivirus Protection\IcoHelp.ico
- %User Profile%\Application Data\Antivirus Protection\IcoUninstall.ico
- %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Protection.lnk
- %Desktop%\Antivirus Protection.lnk
- %Start Menu%\Programs\Antivirus Protection\Activate Antivirus Protection.lnk
- %Start Menu%\Programs\Antivirus Protection\Antivirus Protection.lnk
- %Start Menu%\Programs\Antivirus Protection\Help Antivirus Protection.lnk
- %Start Menu%\Programs\Antivirus Protection\How to Activate Antivirus Protection.lnk
- %Start Menu%\Programs\Antivirus Protection.lnk
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\Antivirus Protection\AntivirusProtection2012.exe
- %User Profile%\Application Data\Antivirus Protection\securityhelper.exe
- %User Profile%\Application Data\Antivirus Protection\securitymanager.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下のフォルダを作成します。
- %Start Menu%\Programs\Antivirus Protection
- %User Profile%\Application Data\Antivirus Protection
(註: %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
seq2p5uwcdww = "{malware path and file name}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Antivirus Protection = "%User Profile%\Application Data\Antivirus Protection\AntivirusProtection2012.exe" /STARTUP
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Antivirus Protection 2012 SM = "%User Profile%\Application Data\Antivirus Protection\securitymanager.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Antivirus Protection
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Antivirus Protection
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}ise-web1.in