TROJ_KOVTER.TGJ
Trojan:Win32/Kovter.C (Microsoft), a variant of Win32/Kryptik.CNOB (ESET)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのマルウェアが削除されるのを避けます。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
マルウェアは、以下のレジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS
svchost.exe = "1"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
explorer.exe = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
svchost.exe = "0"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}e.pw/form2.php