TROJ_MADI.EVL

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\PrintHood\UpdateOffice.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下のフォルダを作成します。

• %User Profile%\UpBackup

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

他のシステム変更

マルウェアは、以下のファイルを削除します。

• %User Profile%\PRINTH~1\100.bat

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\advapi32.dll[MofResourceName] = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\DRIVERS\ACPI.sys[ACPIMOFResource] = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\DRIVERS\mssmbios.sys[MofResource] = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\DRIVERS\intelppm.sys[PROCESSORWMI] = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\DRIVERS\ipnat.sys[IPNATMofResource] = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM\WDM
%System%\Drivers\HTTP.sys[UlMofResource] = "{random characters}"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders
Startup = "%User Profile%\UpBackup"

(註：変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
Startup = "%User Profile%\UpBackup"

(註：変更前の上記レジストリ値は、「%User Profile%\Start Menu\Programs\Startup」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

• %User Profile%\PrintHood\SHK.dll
• %User Profile%\PrintHood\SIK.dll
• %User Profile%\PrintHood\BIE.dll
• %User Profile%\PrintHood\FIE.dll
• %User Profile%\PrintHood\Roze.dll
• %User Profile%\PrintHood\mahdi.txt
• %User Profile%\my documents\{malware file name}.txt
• %User Profile%\my documents\{malware file name}.jpg
• %User Profile%\PrintHood\100.bat
• xdat.dll
• ~J2K7X6XdhxkIAkxkAxOg.TMP
• ~PWDyNwEQtJnkIGe0G4UA.TMP
• ~u5j5GfqMGroFMFzPNakD.TMP
• ~H7OuT3lE1fi1aYXr2bXq.TMP
• ~J0gtJXdf37QLVXVjzKg1.TMP
• ~Hx3kLzorWECl0vqWcwsQ.TMP
• ~xwK5Btff9VgfLZ0hGkpZ.TMP
• ~Qvv9bNJWP4maAKPXlfmw.TMP
• ~GA5nx7ydrl0dveueF6Ik.TMP
• ~N3QLXQ1U8xku4GjbcyEO.TMP
• ~o9scp72HrzGYLqwnbcH0.TMP
• ~0UyzG1dmOxYDbsivlaQJ.TMP
• ~AdGURU5TJiEV67VFOJ1K.TMP
• ~94aPzQlfGeaKMh3jkTr5.TMP
• ~V2YbTzsPUcJFNkHjaVoY.TMP
• ~IJh86xs0KPy4iAEZClvA.TMP
• ~yo6Z39h2UQ6SpGXxlCk9.TMP
• ~4mTt1kOYVUynRL4WHZBT.TMP
• ~kvjsb1ssAngHUjvZVv14.TMP
• ~cypEiX7hv4LbrDw8vc5N.TMP
• ~7KJNGRDevELmfyaGjQQw.TMP
• ~hp8zFAK610iTYrVRa9Az.TMP
• ~tiyIwINJaoipRXKcGVTR.TMP
• ~WxSDCGsXyOvqPOyVrU2T.TMP
• ~ov76Uhhyqi5Ee6Mi9V5j.TMP
• ~7hj5F1JYPXhj4Hv5E9dD.TMP
• ~SQn4A2Q0AFA1hmPkTCDh.TMP
• ~r1NV7e4gq4pKUSRXAOIB.TMP
• ~4J3qUjZlXJSzMPpUkNv1.TMP
• ~9aSmooEjRUh2f0hDzYL9.TMP
• ~dNkFqugOur5H2nRYE39f.TMP
• ~jKERQnLycIrufespeBvg.TMP
• ~dRpN8ZkpPkMqO5qrv7V9.TMP
• ~paAkoPnssQ20vXCwDsMG.TMP
• ~cNbrZGqfNPigt2HqJxR6.TMP
• ~oHMhK7uPSqTD8lCUJ3yO.TMP
• ~HMoPQPWZZy9Gf8fweZU1.TMP
• ~BxDe1rrGIaHVH3n3sEnz.TMP
• ~JDdmIhPAwmAocvCUfaqx.TMP
• ~jABRSAXeKtqbCEcF2RNV.TMP
• ~KwvXkBKXNfOGtifJKs5q.TMP
• ~IVruhvW6C0a8tFPvRVEI.TMP
• ~wKKBUbUON0Iu3JPhE6xr.TMP
• ~VurCp62LVjpbTHg9izCm.TMP
• ~I6QYFb29zeoCAfmZerDd.TMP
• ~AtZJzJIOrxA4oLS66nd2.TMP
• ~d0H8cuAArqztsAgGHIcX.TMP
• ~LK0F31V9JCDj19iazo44.TMP
• ~OfGpCIFk6W724nqnqVv7.TMP
• ~Cdk6wFDjr3z7fTCwveVR.TMP
• ~H3B1zTgQYL34YYFGmzYm.TMP
• ~EQeQZyyxqKsRlK71H8zw.TMP
• ~j4Bbtoh2972tVVit0y2M.TMP
• ~yLeIko2hu8iJK8TBm1mh.TMP
• ~fWhGt0AdpeaDJWx5zZUW.TMP
• ~79IrlTmXrw6OWr0iJSFp.TMP
• ~9ck776eunKdqtedjL0mr.TMP
• ~yZ1fg006lA7f4iCXhOWY.TMP
• ~voWMd4lcausF3EdJohwg.TMP
• ~ClhYDXQXSLQsgvOaZQSh.TMP
• ~dl3VyNUhLO4NFf6q8swY.TMP
• ~4zM3g7HSDP0HqmRVgK3l.TMP
• ~Ui94Uxsln8EWiQW7QDwF.TMP
• ~lPiLXQgGXCMdk8DrXFgU.TMP
• ~Cwy7hK0J9uUvQdBkQImZ.TMP
• ~vnViQnJVhDBKINlTuktI.TMP
• ~S8e1KpRwv6DZn1rKT7WE.TMP
• ~vIQiaz1kKt4oXQCRYezh.TMP
• ~Wfhj8uWHlvby8LYiFbx3.TMP
• ~w2X4urdSdoYFCnIrNk8Y.TMP
• ~UaX4mIin8pxiAgg090s5.TMP
• ~Xjm7Mo5nTdpprFtlGpcA.TMP
• ~gFu6ZTDNoHpZ6ePfzZp5.TMP
• ~GrQRknwwwO757F5B7ffH.TMP
• ~r9fo1aLDo9Qt1vYWUTm5.TMP
• ~yeOxI20xbkJWvXdNHpp4.TMP
• ~KUmZC3hkAcRk2E484qwy.TMP
• ~3gvZPwQK6GQUFdp3W1K3.TMP
• ~5LLTtBMXCKFaS1br4Rdy.TMP
• ~V5AxrWDlka7o5PcrGTNj.TMP
• ~ovK4y4kBDLZGZyt1daBK.TMP
• ~OIaA9PfB4S8ImZenkoJx.TMP
• ~cykMxgkEHkh6jchazcC9.TMP
• ~FXjCK62Z6zAxs8tzBL38.TMP
• ~PbUXo9eBhBG1XEmPtZIv.TMP
• ~n8fnCttqFxlXXQqpPbyv.TMP
• ~nEd7vAugTjUoXhFz2mLd.TMP
• ~wFVJcwM1kY9K6ZzNIPfP.TMP
• ~QZKm6WbT3dqD9cmImYyI.TMP
• ~OskDI1qJwz0udNj6rgDP.TMP
• ~YEBAwtCuST5fbI23j6zj.TMP
• ~wMOHcqVQYI7iBssk86KM.TMP
• ~4U2OSmdd4y0l3cSCV5Wf.TMP
• ~iSZ6VP5NRyAiBn7U3rKB.TMP
• ~TJno0W7mNMb7TZfTcnba.TMP
• ~SCI4GdcVNTDcIdajCdEQ.TMP
• ~ga96fR32kcTz5sVuij7T.TMP
• ~kMODK7J30yYjtCg4iL3q.TMP
• ~6PnlJj1r7aiFWKQCbQmd.TMP
• ~Dl1tYohmOxpeCfslBZk3.TMP
• ~XMGBvspMWxst64efOhnb.TMP
• ~fKyh571zJPXpfEuSyqbM.TMP
• ~Wk3fN1x5huTOufkMozwM.TMP
• ~4zuWMO3d2nsiDqzSvHfU.TMP
• ~jaaQfsLZnYcMadpiy5Oz.TMP
• ~Cv09yFjuX6Av3YF4XXFB.TMP
• ~yCvaXlDcwZxx9iq2yk1T.TMP
• ~0eeqUWGlGckQt3QQjutd.TMP
• ~8UGou8R3VWUPWrLeyyK7.TMP
• ~CGsurusN4Jep3bybNtTk.TMP
• ~jI1coH1yUnBKCLU9dBwu.TMP
• ~Tv49iJ9WXpxQquhvG0lR.TMP
• ~NN56hKCrtE6hLBNRP89M.TMP
• ~K2ctGZWTB8AR2zRoKw9Y.TMP
• ~1YTsPQFrqz2Vu6qzhYIN.TMP
• ~21inJNDeBfoQO8Sgq4uZ.TMP
• ~yTjqC4ZR6Yo5kq0e6RJL.TMP
• ~hKccZUnPZh01GeJNWoUj.TMP
• ~te4FlBs1CCt0xaiylj5N.TMP
• ~ALwRnsQeNrdHCOYie82t.TMP
• ~eMbcPtEMFMv3BYhT2tFp.TMP
• ~Zsq4AYSXCKEzJ176lqok.TMP
• ~ATYH6X0mc5yxa35T4ErW.TMP
• ~jKRtrOyk7mjtwQFsVcCt.TMP
• ~xY6TIqo9hbu5vaWWQh4B.TMP
• ~F3gYcfRyUYCBG49lUy7M.TMP
• ~wn3ilfDx7mstwZXWnAph.TMP
• ~CJXagz8MmxuDLqOX52V6.TMP
• ~6ob0FxNk8AxJjt4zUhYQ.TMP
• ~AN5nS3myrEra7yG2RDyL.TMP
• ~2FV4vUkX6APSganKNSJQ.TMP
• ~kEG86eOENIWN6V4psNGm.TMP
• ~Go7qYz4l7ln46YJeXM1m.TMP
• ~5nBbEh9EUTr8EC1ovJqY.TMP
• ~Czs31ouJFaQBbAMhgy9g.TMP
• ~ja7HDA309bnSbZGlApPJ.TMP
• ~k8RRSnXdEpnmqMNqMF77.TMP
• ~71OJFH7krnO00PwuMFEl.TMP
• ~Vu5hvL2cGKEzrI2jiA32.TMP
• ~hBKU3XevHyztVJNpW2LU.TMP
• ~gEtcgYmOEtD7S7O6jxsH.TMP
• ~u81iiBgsuygy8HORt1Hz.TMP
• ~9xmVJT2U3s7hqxzjcqcF.TMP
• ~ZlpKXrJVho9NOewg8DHb.TMP
• ~yqY8YeZyHLOq9JBXYOnQ.TMP
• ~jE9euqctmJx1VLT8ILOA.TMP
• ~YyMm1gTWXbAnMnMWTnwH.TMP
• ~Oxu8QaKK0seioRvhnbtR.TMP
• ~UEuTOOtn2UJCnJNEFv9a.TMP
• ~3dhsGfTt3tDTZZEHwIRL.TMP
• ~PfATflUa42sohJcszQNl.TMP
• ~QAIZ8jUXlAlyljYMYLkF.TMP
• ~jmY0YYxUs18EXbft0Lax.TMP
• ~9a9AGluHID6aKr07rdGO.TMP
• ~uR4QOPHBhaKQr5zst6Sr.TMP
• ~cCfOAy03GPXvgGifZi2M.TMP
• ~GpvYqeNZMfJBTyzWaiRE.TMP
• ~sPo6ZfVQheJsgALXAk7I.TMP
• ~geXPdcTa1X3B2ip1LVsb.TMP
• ~1PvRnzbNsgDRD8mpJx0T.TMP
• ~pLwzjqekwJWmTlm9Onr0.TMP
• ~zHqMpUsrozeq02PC5i3u.TMP
• ~dxxMfUdioKjogeXNoh6R.TMP
• ~lPVxYTDe79S9HyEuX5Nd.TMP
• ~VJQYnlJ6AaXmNhYNfE2f.TMP
• ~urb7FfVW9yla6NtomROo.TMP
• ~hgCPhe1LoIiyZI39eezb.TMP
• ~W07iSLGj5OK56wQNV8SQ.TMP
• ~14432Cp44Hhhox9roO8f.TMP
• ~Q9ChoWekFY5ki2NIIEt4.TMP
• ~tDPqP86VzpybYBTNy9xw.TMP
• ~tq3hWn7YaYShnbcax2m2.TMP
• ~1dbPieu0fHJmBuwcmNc9.TMP
• ~NhRG9mycSGrpVx993RyH.TMP
• ~PAvJLXnxtE31BYgkIDOY.TMP
• ~ZXuH7KCUCuK1dDgQyxIt.TMP
• ~GQOtiv0QrH6GtUBFuHuZ.TMP
• ~2KM7MSrdCuJkmTtTr5py.TMP
• ~vwZbd64FVcNAt4QHXyzl.TMP
• ~OXPZ2HyDVklrEO5pcsP3.TMP
• ~zc0MscMtvEETcErIq9De.TMP
• ~hXlKeVeUUjRy3gauWlMz.TMP
• ~dj2soBCr9ugsoSEKM8WC.TMP
• ~V6dq0l4Sx0t8eunwik6X.TMP
• ~5tm5qpkbAmLYCYsbCWmV.TMP
• ~I47kxr8n65df3WkUj359.TMP
• ~G5CRVckWirvaMxKfNlR5.TMP
• ~imXjphgGru9T5iRis4IL.TMP
• ~ZXBX4tO7VvEa6HMmNUqd.TMP
• ~xoxgHr9t9edrf1wiRJnP.TMP
• ~nIiAQrUtkC4k6VlTkKGk.TMP
• ~qxyvoaGFOR3gRKMLs8Sw.TMP
• ~Ka7jfB7zDZQnDwTkn6Xy.TMP
• ~uLEmpYod6jsDelQJlIEf.TMP
• ~nUA43lZuqZ6g5GOOMr9F.TMP
• ~tJKn7fwUTx0crVh1xzk7.TMP
• ~BnfLyNSypJBJAn1QL76U.TMP
• ~XB4cw2amP6EEu3nYOtsY.TMP
• ~7EfTXPvU2QFzWbxFY45X.TMP
• ~3SD7NcM1V7kB8kkIUacn.TMP
• ~uPxcfdAKYRI7XZmMCMuS.TMP
• 6nenVMCOzU.PRI
• Pe9aN8S7wG.PRI
• 983JR3okOO.PRI
• PGwHzWVPns.PRI
• 8nIfB2x8Oz.PRI
• OCilrD2FkX.PRI
• DXdkZqXhoe.PRI
• rdrwX6VkXR.PRI
• 52oQmiOWZb.PRI
• rlWaQBW8Lm.PRI
• 5o3t8xTCxC.PRI
• 1Af12CaNwv.PRI
• eIBVLO39hj.PRI
• BFTVBhdHlj.PRI
• udqjI5OseT.PRI
• flJVJR4TtR.PRI
• IyU9TxIbWU.PRI
• qOueJ9cJsi.PRI
• wwDmmlKLAt.PRI
• 0qqbiXAQ3N.PRI
• 7DEIc3R22H.PRI
• RZZH5e5gWo.PRI
• GMZrSj19iF.PRI
• CrgJ3Hizzz.PRI
• BNQOIzrkM3.PRI
• N0lIOZvfeh.PRI
• qvdiZTnAYC.PRI
• MBJfBNzX54.PRI
• eqC0C8ojMr.PRI
• NZADciyon2.PRI
• 7v7fC21TSN.PRI
• vS32SS5LkS.PRI
• FOWeYmiRbJ.PRI
• h8rmnJewf0.PRI
• WRAgHZVOK0.PRI
• 6a26mWezjI.PRI
• xEIJEo1808.PRI
• m8OBzaU4t8.PRI
• oO4lGcHRCZ.PRI
• WExho8YdzV.PRI
• oSYNtpLw3v.PRI
• oIEIkxOnna.PRI
• d0rdpJGrRs.PRI
• SeNlsSrwfr.PRI
• kOkvgJ0xvQ.PRI
• qWkDNtGpdW.PRI
• rm0ygzCJ20.PRI
• vNSRfPjiNF.PRI
• bx2Lz6ZziF.PRI
• yiEPjG02mQ.PRI
• HALh95rV6G.PRI
• w2xMdgkZzX.dll
• JYlnPWikp8.dll
• 3YrOfPOSWY.dll
• CkpZTzV1H1.dll
• GRZOoez2Ux.dll
• 1VrGzG1f8i.dll
• VyGSN6pSy1.dll
• 62mEK1BNcv.dll
• BCNc5252rd.dll
• w6wa7SssNs.dll
• XhKVlUk2vv.dll
• sMkY0wPNjc.dll
• pYxv5C7Yj7.dll
• 8JzMU4xtMp.dll
• 6aPHHxLrr3.dll
• GHmcsNMz9I.dll
• llEAgEvodH.dll
• Mho1Nnicl7.dll
• 5z0xfkVWaF.dll
• oTYa9KkPSU.dll
• mPFgV5uKvs.dll
• XeYPVSu40H.dll
• lDeX1jzLqw.dll
• y27iShzmyF.dll
• HQZkx5P550.dll
• tC6GOY2Jr8.dll
• OhYR2ukNas.dll
• 0y9KeKGYdf.dll
• PfVciYjT7N.dll
• f18hIabHjy.dll
• 6Ael4E42XV.dll
• 5aIc9600Hu.dll
• h8wMKL9txD.dll
• reZjYMgBj9.dll
• PEo9Zvmfvk.dll
• 3AcJBalzlt.dll
• AyUB7yDKlQ.dll
• tciuJKbYEr.dll
• C6Qf5HupPn.dll
• nj1mAUHkul.dll
• lgR9iwSa2f.dll
• 9GAzWfZ7CR.dll
• lahlTaUEnj.dll
• Hv03IxdmVJ.dll
• In3HqVaY2X.dll
• 6E8Yamgm33.dll
• ymP1kcYHyb.dll
• FIKSewsVOm.dll
• z6ClKXTTKB.dll
• m09wFOX2sd.dll
• C4s438KTBL.dll
• %User Profile%\Templates\nam.dll
• pangtip.bat
• %User Profile%\PRINTH~1\UPDATE~1.EXE.pkxm
• %User Profile%\UpBackup\UpdateOffice.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

このウイルス情報は、自動解析システムにより作成されました。