解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 779264 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年11月27日

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • %Application Data%\SoftwareProtectionPlatform\sppc.exe
  • %System%\sppsrv.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\SoftwareProtectionPlatform

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dumpdsvr = "%Application Data%\SoftwareProtectionPlatform\sppc.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ImagePath = "%System%\sppsrv.exe -s"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DisplayName = "Windows Software Protection"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnService = RPCSS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnGroup = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Description = "This Windows service enables the download, installation and enforcement of digital licenses for Windows and Windows applications. If the service is disabled, the operating system and licensed applications may run in a notification mode. It is strongly recommended that you not disable the Software Protection service."

モバイル端末を狙う不正プログラムの不正活動

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ih.com/pki/mscorp/crl/msitwww2.crl