TROJ_ROVNIX.I

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。 マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\L{Volume ID}
• %User Temp%\NTFS.sys
• %User Temp%\tmp{random characters}.tmp
• %System%\BOOT.dat

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\BackUp{Volume ID}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• "Global\INSNTFS{Volume ID}"
• "Global\UACNTFS{Volume ID}"
• "Global\BDNTFS{Volume ID}"

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BackUp{Volume ID} = "%Application Data%\BackUp{Volume ID}.exe"

マルウェアは、以下のサービスを追加し、実行します。

• Service Name: BS{Volume ID}
  Display Name: BS{Volume ID}
  Start Type: SERVICE_DEMAND_START
  Binary Pathname: %User Temp%\NTFS.sys

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Sysinternals\
C
EulaAccepted = 1

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
LP = "%User temp%\L{Volume ID}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RSA{Volume ID} = "%System%\rundll32.exe "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll",DllInitialize"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Disk Defragmenter = "%System%\rundll32.exe "%Application Data%\defragsvc.dll",DllInitialize"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
ID = "-- default --"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• iexplore.exe

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}erfliremsnk.net/cgi-bin/150915/post.cgi

マルウェアは、以下のプロセスの存在を確認します。

• explorer.exe

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。

• luser
• perl
• python
• trace
• dump

マルウェアは、以下を実行します。

• マルウェアは、暗号化されたコードを読み込むためにNTFSブートセクタを変更します。
• 以下のいずれかによってハードディスクが保護または暗号化されている場合、自身を終了します。
  • BitLocker
  • VeraCrypt
  • TrueCrypt
• 現在のユーザのログオフ
• %User Temp% フォルダ内にあるファイルの削除
• マルウェアの名称またはパスに以下の部分文字列が含まれる場合、自身を終了します。
  • samp
  • smpl
  • vir
  • malw
  • test
  • troj

マルウェアは以下の情報を収集し、自身のサーバに報告します。

• マルウェアのID
• ログファイルのファイルパスと名称
• オペレーティング・システム(OS)のバージョンおよびアーキテクチャ
• ファイルシステム
• ボリュームID
• コンピュータの日付および時刻
• 子プロセスID
• 子ファイルのパスとファイル名
• 親プロセスID
• 親ファイルのパスとファイル名
• マルウェアの現在のディレクトリ
• ユーザ名
• SIDの副権限のレベル

マルウェアは、自身が仮想環境下で実行されているかを確認するため、以下をチェックします。

• VMSwitchUserControlClass（VMWareのウィンドウ名）
• HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PRLS__\PRLSACPI（Parallels Workstationのレジストリキー）
• CPUID（Parallels WorkstationのCPUIDと比較するため）

マルウェアは、自身が仮想環境下で実行されていることを確認した場合、不正活動を続行しません。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。