解析者: Rhena Inocencio   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 191,488 bytes
タイプ EXE
発見日 2012年6月27日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\{GUID}\@
  • %Windows%\Installer\{GUID}\@
  • %Windows%\Installer\{GUID}\U\00000001.@
  • %Windows%\Installer\{GUID}\U\800000cb.@
  • %Windows%\Installer\{GUID}\U\80000000.@

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %Application Data%\{GUID}\n
  • %Windows%\Installer\{GUID}\n

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のフォルダを作成します。

  • %Windows%\Installer\{GUID}\L
  • %Windows%\Installer\{GUID}\U

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、実行後、自身を削除します。

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Classes\
CLSID\{GUID}\InprocServer32
@ = "%Application Data%\{GUID}\n"

HKEY_CURRENT_USER\CLSID\{GUID}\
InprocServer32
ThreadingModel = "Both"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InprocServer32
(Default) = "\.\globalroot\systemroot\Installer\{GUI}\n"

(註:変更前の上記レジストリ値は、「"%System%\wbem\wbemess.dll"」となります。)