TSPY_NOON.TIFBAAT
Trojan-Spy.Win32.Noon.qbx (Kaspersky)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random folder name}\{random}log.ini
- %Application Data%\{random folder name}\{random}logim.jpeg
- %Application Data%\{random folder name}\{random}logrf.ini
- %Application Data%\{random folder name}\{random}logri.ini
- %Application Data%\{random folder name}\{random}logrv.ini
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\{random folder name}\{random filename}.exe
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
スパイウェアは、以下のフォルダを作成します。
- %Program Files%\{random folder name}
- %Application Data%\{random folder name}
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}es.science/ma/
- http://www.{BLOCKED}8.net/ma/
- http://www.{BLOCKED}-cats.com/ma/
- http://www.{BLOCKED}d.online/ma/
- http://www.{BLOCKED}toulouse.com/ma/
- http://www.{BLOCKED}gshui.com/ma/
- http://www.{BLOCKED}hforum.com/ma/
- http://www.{BLOCKED}rewal.net/ma/
- http://www.{BLOCKED}beienwasir.com/ma/
- http://www.{BLOCKED}t.gold/ma/
- http://www.{BLOCKED}reppermusic.com/ma/
- http://www.{BLOCKED}k.com/ma/
- http://www.{BLOCKED}x.com/ma/
- http://www.{BLOCKED}m-watches.com/ma/
- http://www.{BLOCKED}ionsllc-obgyn.com/ma/
- http://www.{BLOCKED}in29.com/ma/