TROJ_OLMARIK.EFF

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのマルウェアが削除されるのを避けます。 マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\exefile.exe - also detected as TROJ_OLMARIK.EFF
• %System%\us?rinit.exe - also detected as TROJ_OLMARIK.EFF

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下の無害なファイルを作成します。

• %Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D01}.tlb
• %Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D02}.tlb
• %Application Data%\.wtav
• %System%\ms{random characters}.dll

(註：%Temp%は、＜Windows Temporary フォルダ＞のことで、標準設定では "C:\WINNT\Temp" または "C:\Windows\Temp" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ImagePath = \.\globalroot\%System%\us?rinit.exe

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = exefile /shell <%1> %*

(註：変更前の上記レジストリ値は、「%1 %*」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile\shell\open\
command
(Default) = exefile /shell <%1> %*

(註：変更前の上記レジストリ値は、「%1 %*」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiSpywareOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• http://{BLOCKED}.{BLOCKED}.21.219:8083/ask?t={value}&u={value}&a={value}&m={value}&h={value}

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %System%\drivers\vbma{random characters}.sys

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• RTKT_OLMARIK.EFF

その他

マルウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
NoModify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
NoRepair = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
DisplayName = Antivirus 2010

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
Publisher = WebTop Software Limited

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
URLInfoAbout = http://www.{BLOCKED}billing.com/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
UninstallString = \.\globalroot\%System%\us?rinit.exe /uninstall

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random CLSID}
DisplayIcon = \.\globalroot\%System%\us?rinit.exe

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.yahoo.com

マルウェアは、以下の画像を表示します。

マルウェアは、実行後、自身を削除します。