TROJ_VBINJECT

「TROJ_VBINJECT」ファミリは、Visual Basicで書かれています。「VBINJECT」の亜種は、2009年に初めて確認され、2010年にも再び確認されています。このファミリの亜種は、自身の内部にある他のマルウェアを隠ぺいするワームまたはトロイの木馬型マルウェアから成ります。このファミリの亜種は、パッケージされています。このファミリの亜種は、圧縮や暗号化を行うソフトウェアを利用し、内容を圧縮および難読化します。そのため、隠ぺいされた他のマルウェアの検出が困難になります。「VBINJECT」の亜種は、主に感染コンピュータで実行される他のマルウェアを隠ぺいするためにサイバー犯罪者に利用されます。

「VBINJECT」は、プロセスにコードを組み込む機能を備えており、システムのプロセスに常駐します。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\{random folder name}\{random folder name}\Desktop.ini

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\{random folder name}\{random folder name}\{random file name}.exe

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のフォルダを作成します。

• %System Root%\{random folder name}
• %System Root%\{random folder name}\{random folder name}

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\{random folder name}\{random folder name}\{random file name}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• acc008.{BLOCKED}p.net
• accf0ur.{BLOCKED}ist.org
• april.{BLOCKED}d.info
• april.{BLOCKED}c.cz
• april.{BLOCKED}r.im
• feb4.{BLOCKED}d.info
• feb4.{BLOCKED}c.cz
• feb4.{BLOCKED}dic.net
• gazma.{BLOCKED}rk.biz
• gazma.{BLOCKED}ils.net
• lamer.{BLOCKED}s.com
• lol3.{BLOCKED}ils.net
• maqbol.{BLOCKED}ils.net
• march2.{BLOCKED}d.info
• march2.{BLOCKED}c.cz
• march2.{BLOCKED}r.im
• sik.{BLOCKED}nix.net
• teams.{BLOCKED}l.com