解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい


  詳細

メモリ常駐 はい
ペイロード 情報収集

インストール

スパイウェアは、以下のファイルを作成します。

  • %Windows%\wnetsock08.dll
  • %Windows%\Media\AuxImgDll.dll
  • %Current%\AuxImgDll.dll
  • %Current%\Emails.dat
  • %Current%\upset1.dat

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\Media\HPMedia.exe
  • %Current%\{malware filename}_OLD.jmp

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path and filename}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
DrvStart = "%Windows%\Media\HPMedia.exe"

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • www.{BLOCKED}opliquidation.co.za
  • www. {BLOCKED}ventos.com.br
  • {BLOCKED}ncaprivativa.com.br
  • http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
  • http:// {BLOCKED}-10. {BLOCKED}i.com/config.txt
  • http:// {BLOCKED}9-10{BLOCKED}d.com/CurrVer.txt
  • http:// {BLOCKED}6. {BLOCKED}1.238.89/upd/AuxImgDll.dll
  • http://www. {BLOCKED}nsurf.com.ar/n/upd/AuxImgDll.dll
  • http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
  • htt :// {BLOCKED}6. {BLOCKED}1.238.89/upd/crss7_V855.exe
  • http://www. {BLOCKED}nsurf.com.ar/n/upd/crss7_V855.exe
  • http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
  • http:// {BLOCKED}6. {BLOCKED}1.238.89/upd/AuxImgDll.dll
  • http://www. {BLOCKED}nsurf.com.ar/n/upd/AuxImgDll.dll
  • http:// {BLOCKED}10. {BLOCKED}e.com/config.txt
  • http:// {BLOCKED}teinformatica1. {BLOCKED}ecity.com/configs.jpg
  • {BLOCKED}toneagles.net
  • {BLOCKED}br.teliumhosting.com.br
  • {BLOCKED}iadopovo.inf.br
  • {BLOCKED}s-order.ru
  • {BLOCKED}orldgames.com.br
  • {BLOCKED}77. {BLOCKED}-oficial.ws
  • {BLOCKED}s.net
  • {BLOCKED}tphp.com
  • {BLOCKED}fyuz.net
  • {BLOCKED}logische-praxis-schuler.de
  • {BLOCKED}emas.com
  • {BLOCKED}ncaprivativa.com.br
  • {BLOCKED}wopen.sitepessoal.com
  • {BLOCKED}i.lycos.it
  • {BLOCKED}unicaobr.com
  • www. {BLOCKED}b. {BLOCKED}s.it
  • www. {BLOCKED}ergy.com
  • www. {BLOCKED}-book.ru
  • www. {BLOCKED}fredericosp.com
  • www. {BLOCKED}uca.net
  • www. {BLOCKED}juridicovivo.adv.br
  • www. {BLOCKED}a.com
  • www. {BLOCKED}u.hu
  • www. {BLOCKED}ventos.com.br
  • www. {BLOCKED}l.com.br
  • www. {BLOCKED}goforex.com
  • www. {BLOCKED}video.nl
  • www. {BLOCKED}taanet.com.br
  • www. {BLOCKED}set.com
  • www. {BLOCKED}t.fr
  • www. {BLOCKED}-pictures.ch
  • www. {BLOCKED}arwebmotorsltda.com
  • www. {BLOCKED}ly.com
  • www. {BLOCKED}decidadania.org
  • www. {BLOCKED}i.com.br
  • www. {BLOCKED}ndo.info
  • www. {BLOCKED}obirindelli.com.br
  • www. {BLOCKED}ferre.pessoal.ws
  • www. {BLOCKED}design.co.kr
  • www. {BLOCKED}ejomusicas.com
  • www. {BLOCKED}x.com.br
  • www. {BLOCKED}zz.com
  • www. {BLOCKED}k.com
  • www. {BLOCKED}wushu.at
  • www. {BLOCKED}floralameda.com
  • www. {BLOCKED}cartao766.web.br.com
  • www. {BLOCKED}fdance.msk.ru
  • www. {BLOCKED}e.com