解析者: Rika Joi Gregorio   
 別名:

TrojanDownloader:Win32/Upatre(Microsoft), Upatre-FACE!8A17C846576C(McAfee), Troj/Upatre-NP(Sophos),

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 49,664 bytes
タイプ EXE
メモリ常駐 なし
発見日 2015年6月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Temp%\datevoxdj.exe

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のファイルを作成します。

  • %User Temp%\TmpC77A.txt

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のファイルを作成し実行します。

  • %User Temp%\fxhnlsqr.exe

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}8.{BLOCKED}0.194.101
  • {BLOCKED}09.{BLOCKED}6.226.85/upd_file3.zip
  • {BLOCKED}62.{BLOCKED}55.126.8/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}16.240.56/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}43.255.79/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}48.22.227/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}48.27.163/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}48.29.43/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}48.31.1/upd_file3.zip
  • {BLOCKED}73.{BLOCKED}48.31.6/upd_file3.zip
  • {BLOCKED}76.{BLOCKED}6.251.208/upd_file3.zip
  • {BLOCKED}78.{BLOCKED}14.221.89/upd_file3.zip
  • {BLOCKED}88.{BLOCKED}55.165.154/upd_file3.zip
  • {BLOCKED}88.{BLOCKED}55.167.4/upd_file3.zip
  • {BLOCKED}88.{BLOCKED}55.169.176/upd_file3.zip
  • {BLOCKED}88.{BLOCKED}55.236.2/upd_file3.zip
  • {BLOCKED}88.{BLOCKED}55.239.34/upd_file3.zip
  • {BLOCKED}08.{BLOCKED}23.130.173/upd_file3.zip
  • {BLOCKED}16.{BLOCKED}54.231.11/upd_file3.zip
  • {BLOCKED}4.2{BLOCKED}0.92.193/upd_file3.zip
  • {BLOCKED}4.3{BLOCKED}.131.116/upd_file3.zip
  • {BLOCKED}8.1{BLOCKED}9.5.32/upd_file3.zip
  • {BLOCKED}8.1{BLOCKED}0.246.142/upd_file3.zip
  • {BLOCKED}9.1{BLOCKED}3.81.211/upd_file3.zip
  • {BLOCKED}9.9{BLOCKED}204.114/upd_file3.zip
  • {BLOCKED}0.1{BLOCKED}1.191.206/upd_file3.zip
  • {BLOCKED}1.1{BLOCKED}4.36.73/upd_file3.zip
  • {BLOCKED}2.2{BLOCKED}0.82.80/upd_file3.zip
  • {BLOCKED}3.1{BLOCKED}5.203.173/upd_file3.zip
  • {BLOCKED}5.1{BLOCKED}7.112.81/upd_file3.zip
  • {BLOCKED}7.9{BLOCKED}.125.74/upd_file3.zip
  • {BLOCKED}8.2{BLOCKED}4.215.92/upd_file3.zip

マルウェアは、実行後、自身を削除します。