TROJ_PHULLI.A
Trojan.Luminrat (Symantec) ; Mal/MSIL-TH (Sophos); VirTool:MSIL/Subti.N (Microsoft)
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %Application Data%\conhost\Guard\1
- %Application Data%\conhost\Screenshots\{DATE}\{TIME}
- %Application Data%\rat.exe
- %Application Data%\svchost.exe
- %Application Data%\Windows Update.exe
- %Program Files%\Client\svchost.exe
- %System%\clientmonitor.exe
- %System%\Tasks\adorbe
- %User Startup%\BGInfo.lnk
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)
ワームは、以下のフォルダを作成します。
- %Application Data%\conhost\Logs
- %Application Data%\conhost\Files
- %Application Data%\conhost\Screenshot
- %Application Data%\conhost\Guard
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\s
sgrbBHDMOetyRkExVphQ== = RFTOim3TdAczhLTaDSizdxjwt336geGUtGenylg+am0=
HKEY_CURRENT_USER\Software\ZGDbZx4E
XnSXF8mqincQA== = 4fbtXk5r4LkQK0vi0v2OsQZ10pFACK4j4YqRkpj7sEs=
HKEY_CURRENT_USER\Software
MTX = 0bcf24549a8536869fa6e8c81d24506f35b5fbb1
HKEY_CURRENT_USER\Software
PTH = "%Program Files%\Client\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe,"%System%\clientmonitor.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Schedule\
TaskCache\Tree\adorbe
Index = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
adorbe = "cmd /c "start "adorbe" "%Program Files%\Client\svchost.exe""
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svehost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svehost.exe
その他
ワームは、以下の不正なWebサイトにアクセスします。
- enugu0421.{BLOCKED}s.net
- s.{BLOCKED}d.com
- sw.{BLOCKED}d.com
- s.{BLOCKED}b.com
- sw.{BLOCKED}b.com
- s2.{BLOCKED}b.com
- s1.{BLOCKED}b.com
- sv.{BLOCKED}d.com
- sv.{BLOCKED}b.com
- ss.{BLOCKED}d.com
- gn.{BLOCKED}d.com