解析者: Christopher Daniel So   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、特定のアプリケーションのアイコンを用いて、検出および削除を避けます。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 38,400 bytes
タイプ PE
メモリ常駐 なし
発見日 2010年9月11日

インストール

マルウェアは、以下のアプリケーションのファイルアイコンを使用します。

  • Microsoft Excel

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\idid

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe rundll32.exe yise.ero mpgyjp"

(註:変更前の上記レジストリ値は、「"Explorer.exe"」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %System%\yise.ero - detected as TROJ_DLOADR.SMVE

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

その他

マルウェアは、実行後、自身を削除します。

関連マルウェア