解析者: Augusto II Remillano   
 別名:

Infostealer.Viwir (Norton), Mal/HckPk-A (Sophos_lite)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,109,159 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年8月7日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\RAdobe\RADBR\AREADER\101.jpg
  • %Application Data%\Adobe\Adobe INC\AdobeRead\101.jpg
  • %Application Data%\Adobe\Adobe INC\AdobeRead\700.afr
  • %Application Data%\Adobe\Adobe INC\AdobeRead\adbr01.exe
  • %Application Data%\Adobe\Adobe INC\AdobeRead\adbr02.exe
  • %Application Data%\Adobe\Adobe INC\AdobeRead\ADD1.bat
  • %Application Data%\Adobe\Adobe INC\AdobeRead\Adob9.vbs
  • %Application Data%\Adobe\Adobe INC\AdobeRead\Adobeta.exe
  • %Application Data%\Adobe\Adobe INC\AdobeRead\AReader.exe
  • %Application Data%\Adobe\Adobe INC\AdobeRead\dct02.bat
  • %Application Data%\Adobe\Adobe INC\AdobeRead\ddt01.bat
  • %Application Data%\Adobe\Adobe INC\AdobeRead\VILK.vbs
  • %Application Data%\Adobe\Adobe INC\AdobeRead\adip2.klc
  • %Application Data%\Adobe\Adobe INC\AdobeRead\011.011
  • %User Temp%\Login Data
  • %Application Data%\Adobe\Adobe INC\AdobeRead\112.112
  • %Application Data%\Adobe\Adobe INC\AdobeRead\012.012
  • %Application Data%\Adobe\Adobe Inc\AdobeRead\{varying filename}.058
  • %Application Data%\Adobe\Adobe Inc\AdobeRead\{varying filename}.059

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AdobeA = "%Application Data%\Adobe\Adobe Inc\AdobeRead\ADD1.bat"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Licenses

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
{System Root}%%Users%{User name}%AppData%Roaming%RAdobe%RADBR%AREADER% = "{System Root}%%Users%{User name}%AppData%Roaming%RAdobe%RADBR%AREADER"

HKEY_CURRENT_USER\Software\Microsoft\
Direct3D\MostRecentApplication
Name = "cmd.exe"

HKEY_CURRENT_USER\Software\Licenses
{Hex values} = {Hex values}

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • ftp.{BLOCKED}stia.com