TROJ_ROVNIX.FB
2014年9月20日
別名:
Trojan-Ransom.Win32.PornoAsset.ckkk(Kaspersky), TrojanDropper:Win32/Rovnix.L(Microsoft), Trojan.Cidox.C(Symantec), PWSZbot-FRG!56DB6A59AEBB(McAfee), Trojan-PWS.Win32.Fareit(Ikarus), a variant of Win32/Kryptik.BRHX trojan(Eset)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、感染コンピュータを再起動します。
詳細
ファイルサイズ 280,576 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年9月4日
ペイロード 情報収集
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System%\{random file name}
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
マルウェアは、以下のファイルを作成し実行します。
- {malware path}\{random 8 characters}.bat - used to delete itself
その他
マルウェアは、以下のプロセスの存在を確認します。
- vmusrvc.exe
- vpcmap.exe
- vmsrvc.exe
- vboxservice.exe
- vboxtray.exe
- ollydbg.exe
- windbg.exe
- idag.exe
- idag64.exe
- pexplorer.exe
- lordpe.exe
- hiew32.exe
- bindiff.exe
- wireshark.exe
マルウェアは、感染コンピュータを再起動します。