更新者 : David John Agni
 別名:

Trojan:Win32/Sakurel.A (Microsoft), Trojan.Win32.Sakurel (Ikarus)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 141,104 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年2月15日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Temp%\MicroMedia\MediaCenter.exe

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\MicroMedia\MicroSoftSecurityLogin.ocx

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\MicroMedia

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicroMedia = "%User Temp%\MicroMedia\MediaCenter.exe"

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • csg.secure.snecma.fr 217.108.170.94
  • ctx.secure.snecma.fr 217.108.170.81
  • fdm.secure.snecma.fr 217.108.170.23
  • qa.fdm.secure.snecma.fr 217.108.170.27
  • qa.indigo.secure.snecma.fr 217.108.170.98
  • pi.secure.snecma.fr 217.108.170.96
  • qa.secure.snecma.fr 217.108.170.88
  • qasd.secure.snecma.fr 217.108.170.87
  • sd.secure.snecma.fr 217.108.170.199
  • int.tcua.secure.snecma.fr 217.108.170.18
  • qa.tcua.secure.snecma.fr 217.108.170.13
  • secure.snecma.fr 217.108.170.196

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://oa.{BLOCKED}sen.com/photo/qlvgtjvakctkec-197632229.jpg?resid=3685281
  • http://oa.{BLOCKED}sen.com/script.asp?imageid=qlvgtjvakctkec-197632229&type=0&resid=3685125&nmsg=up

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。