TROJ_YUMY.AI
Windows 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、実行後、自身を削除します。
マルウェアは、Internet Explorer(IE)のセキュリティ設定レベルを下げます。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\{Random Folder}\{Random File Name}.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
マルウェアは、以下の無害なファイルを作成します。
- %Application Data%\{Random Folder 2}\{Random File Name}.{Rnd}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
マルウェアは、実行後、自身を削除します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6D28A461-0014-C635-1588-762C8F7E3B1C} = %Application Data%\Amilh\{Random File Name}.exe
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = 0
Webブラウザのホームページおよび検索ページの変更
マルウェアは、IEのセキュリティ設定レベルを下げます。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}ooqu.ru/bin/koethood.bin