TROJ_PIDIEF.EGQ

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このマルウェアは、朝鮮民主主義人民共和国（北朝鮮）の金正日（キム・ジョンイル）総書記死去のニュースに便乗したスパム攻撃に用いられています。

マルウェアは、スパムメールの添付ファイルとしてコンピュータに侵入します。

実行されると、マルウェアは、侵入したコンピュータにインストールされている "Adobe Acrobat" のバージョンを確認します。バージョンが9.4以前である場合、以下の脆弱性を利用してファイルを作成し実行します。

• CVE-2010-2883
• CVE 2011-0611

マルウェアは、無害なPDFファイルを作成し開き、ユーザに自身の不正活動が気付かれないようにします。

マルウェアは、作成されたファイルを実行します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

• %User Profile%\Local Settings\fabc.scr
• %User Profile%\Local Settings\log1.txt
• %User Profile%\Local Settings\abc.scr - BKDR_FYNLOS.A

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下の無害なファイルを作成します。

• %User Profile%\Local Settings\BriefintroductionofKim-Jong-il.pdf

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

作成活動

マルウェアは、作成されたファイルを実行します。

その他

このマルウェアは、以下のスパムメールの添付ファイルとしてコンピュータに侵入します。

マルウェアは、以下のような無害なPDFファイルを作成し開き、ユーザに自身の不正活動が気付かれないようにします。

また、マルウェアは実行されると、侵入したコンピュータにインストールされているAdobe Acrobatのバージョンを確認します。バージョンが9.4以前である場合、以下の脆弱性を利用してファイルを作成し実行します。

• CVE-2010-2883（英語情報のみ）
• CVE 2011-0611（英語情報のみ）
• APSA10-02: Adobe ReaderおよびAcrobatに関するセキュリティ情報
• APSA11-02: Adobe Flash Player、Adobe ReaderおよびAcrobatに関するセキュリティ情報

さらに、マルウェアは、作成したファイル "fabc.scr" と "log1.txt" を合わせて "abc.scr" を作成し、この統合されたファイルを実行します。