解析者: Wilbert Vidal   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 115,200 bytes
タイプ EXE
発見日 2017年12月1日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成し実行します。

  • %System%\{random alphanumeric characters}.exe
  • %System%\{filename 1}{filename 2}.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{filename 1}{filename 2}
ImagePath = %System%\{filename 1}{filename 2}.exe

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}4.{BLOCKED}7.140.51
  • {BLOCKED}1.{BLOCKED}2.140.140
  • {BLOCKED}8.{BLOCKED}9.236.204
  • {BLOCKED}9.{BLOCKED}8.17.49
  • {BLOCKED}8.{BLOCKED}4.238.174

スパイウェアは、実行後、自身を削除します。