TROJ_UPATRE.ABG

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %User Temp%\razacer.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• {BLOCKED}.{BLOCKED}.29.43/im12.png
• {BLOCKED}.{BLOCKED}.226.85/im12.png
• {BLOCKED}.{BLOCKED}.92.193/im12.png
• {BLOCKED}.{BLOCKED}.251.208/im12.png
• {BLOCKED}.{BLOCKED}.165.154/im12.png
• {BLOCKED}.{BLOCKED}.240.56/im12.png
• {BLOCKED}.{BLOCKED}.246.142/im12.png
• {BLOCKED}.{BLOCKED}.169.176/im12.png
• {BLOCKED}.{BLOCKED}.112.81/im12.png
• {BLOCKED}.{BLOCKED}.81.211/im12.png
• {BLOCKED}.{BLOCKED}.231.11/im12.png
• {BLOCKED}.{BLOCKED}.131.116/im12.png
• {BLOCKED}.{BLOCKED}.5.32/im12.png
• {BLOCKED}.{BLOCKED}.125.74/im12.png
• {BLOCKED}.{BLOCKED}.215.92/im12.png
• {BLOCKED}.{BLOCKED}.82.80/im12.png
• {BLOCKED}.{BLOCKED}.130.173/im12.png
• {BLOCKED}.{BLOCKED}.221.89/im12.png
• {BLOCKED}.{BLOCKED}.22.227/im12.png
• {BLOCKED}.{BLOCKED}.31.1/im12.png
• {BLOCKED}.{BLOCKED}.31.6/im12.png
• {BLOCKED}.{BLOCKED}.27.163/im12.png
• {BLOCKED}.{BLOCKED}.255.79/im12.png
• {BLOCKED}.{BLOCKED}.204.114/im12.png
• {BLOCKED}.{BLOCKED}.203.173/im12.png
• {BLOCKED}.{BLOCKED}.239.34/im12.png
• {BLOCKED}.{BLOCKED}.173.27/im12.png
• {BLOCKED}.{BLOCKED}.92.4/im12.png
• {BLOCKED}.{BLOCKED}.36.73/im12.png
• {BLOCKED}.{BLOCKED}.64.184/im12.png
• {BLOCKED}.{BLOCKED}.171.44/im12.png
• {BLOCKED}.{BLOCKED}.236.173/im12.png
• {BLOCKED}.{BLOCKED}.223.219/im12.png
• {BLOCKED}.{BLOCKED}.204.12/im12.png
• {BLOCKED}.{BLOCKED}.63.33/im12.png
• {BLOCKED}.{BLOCKED}.130.24/im12.png
• {BLOCKED}.{BLOCKED}.93.250/im12.png
• {BLOCKED}.{BLOCKED}.25.40/im12.png
• {BLOCKED}.{BLOCKED}.210.27/im12.png
• {BLOCKED}.{BLOCKED}.61.218/im12.png
• {BLOCKED}.{BLOCKED}.128.71/im12.png
• {BLOCKED}.{BLOCKED}.11.253/im12.png
• {BLOCKED}.{BLOCKED}.217.188/im12.png
• {BLOCKED}.{BLOCKED}.75.164/im12.png
• {BLOCKED}.{BLOCKED}.248.137/im12.png
• {BLOCKED}.{BLOCKED}.210.131/im12.png
• {BLOCKED}.{BLOCKED}.247.74/im12.png
• {BLOCKED}.{BLOCKED}.36.35/im12.png
• {BLOCKED}.{BLOCKED}.204.16/im12.png
• {BLOCKED}.{BLOCKED}.30.156/im12.png

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\eprath.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• TSPY_DYRE.YYSIV

マルウェアは、ダウンロードしたファイルを実行します。

情報漏えい

マルウェアは、以下の情報を収集します。

• Host name
• OS version
• Service Pack

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• icanhazip.com

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。