解析者: Kiyoshi Obuchi   
 別名:

Mal/FareitVB-M (Sophos); Trojan.PSW.Fareit.kju (Jiangmin); Trojan-PSW.Win32.Fareit.cqmm (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい


  詳細

ファイルサイズ 720896 bytes
タイプ EXE
発見日 2017年4月29日

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\mololder\loomelme.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

スパイウェアは、以下のファイルを作成します。

  • %User Startup%\loomelme.vbs
  • %Application Data%\Microsoft\Windows\IETldCache\index.dat
  • %User Temp%\.Identifier
  • %Application Data%\BD6BD813-83E9-490D-8D43-F51394BC4252\run.dat

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

スパイウェアは、以下のフォルダを作成します。

  • %Application Data%\mololder

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

他のシステム変更

スパイウェアは、以下のファイルを削除します。

  • %User Temp%\JK-PO29042017.exe:Zone.Identifier

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

スパイウェアは、以下のレジストリキーを変更します。

HKEY_CURRENT_USER\Software\WinRAR
HWID = {058DA450-C45A-49DA-905C-904A0504357D}

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.net
  • {BLOCKED}1.{BLOCKED}.net
  • {BLOCKED}2.{BLOCKED}.net
  • {BLOCKED}.{BLOCKED}.net
  • {BLOCKED}ack.{BLOCKED}.net
  • {BLOCKED}.{BLOCKED}si.com
  • {BLOCKED}.{BLOCKED}si.com
  • {BLOCKED}ol.{BLOCKED}.net
  • {BLOCKED}d.{BLOCKED}.net