TSPY_GOLROTED.JCL

2017年9月6日

解析者: Joselyn Canuela

別名:

Trojan.Win32.Scar.qeba (Kaspersky), TrojanSpy:MSIL/Omaneat.B (Microsoft), W32.Golroted (Symantec)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

%Application Data%\{random characters}\{random characters}.exe

スパイウェアは、以下のファイルを作成します。

%Application Data%\pidloc.txt
%Application Data%\pid.txt
%User Temp%\holderwb.txt
%User Temp%\screens\screenshot{number}.jpeg
%AppDataLocal%\GDIPFONTCACHEV1.DAT
%User Temp%\holdermail.txt

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random characters}
%User Temp%\screens

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = ""%Application Data%\{random characters}\{random characters}.exe", explorer.exe"

その他

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

checkip.dyndns.org

スパイウェアは、以下の不正なWebサイトにアクセスします。

mail.{BLOCKED}uster.website

TSPY_GOLROTED.JCL

概要

詳細

リソース

サポート

会社概要

東京本社

TSPY_GOLROTED.JCL

概要

詳細

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa