TROJ_MEDFOS.SME
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアまたはグレイウェアに利用されるファイルとして、コンピュータに侵入します。 マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ファイルを改変します。これにより、該当プログラムおよびアプリケーションが正しく実行されなくなります。
マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。
詳細
侵入方法
マルウェアは、他のマルウェアまたはグレイウェアに利用されるファイルとして、コンピュータに侵入します。
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
他のシステム変更
マルウェアは、以下のファイルを改変します。
- %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.ini
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Mozilla\
Firefox\Extensions
{9D7673B2-B93D-11E1-8270-B8AC6F996F26} = "%Application Data%\{9D7673B2-B93D-11E1-8270-B8AC6F996F26}\"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
a = "ODUuMTcuMTMyLjMzOwAA"
ダウンロード活動
マルウェアは、以下の不正Webサイトにアクセスします。
- http://{BLOCKED}dfile.com/file/id=AwAyAAEAXXYJAAEFAJAAAAAAAAAAIwwGEAsAAACyc
3ad4RE9uay4cIImb5lvVVVVVVVVVVVVVVVVVVVVVQ
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAADRW&c=3