TROJ_MIDHOS.BY

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}\chrome\content\browser.xul
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}\chrome.manifest
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}\install.rdf

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\b1d5470d-6899-4f20-a4cd-ae0086f4a858
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}\chrome
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{624fdd7d-2457-11e3-8277-b8ac6f996f26}\chrome\content

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware File Name} = "rundll32.exe {Malware Path and File Name}.dll"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{Malware File Name} = "{random letters}"

その他

マルウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。