VBS_AGENT.BIQU

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
KeyboardMapper

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{variable depedending on 'Cache'}/hc/{variable depending on 'Current'}.htm

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• {malware path}\{random file name}.tmp.wsf

その他

マルウェアは、以下のコマンドを利用してダウンロードしたファイルを実行します。

• "{variable depending on 'Link'}" "{malware path}\{random file name}.tmp.wsf"

マルウェアは、実行後、以下のファイルを削除します。

• {malware path}\{random file name}.tmp.wsf

自身のコンポーネント／レジストリおよび利用方法により、マルウェアが以下の不正活動を行うことがあります。

• ファイル"{path and file name variable depending on 'Shell'}.sho"の作成
• ショートカットファイル"{variable file name 1}.lnk"の作成
• 作成されたショートカットファイルの実行と削除
• ランダムなサブフォルダのパスを返す
• レジストリキーからOSのバージョン番号の最初の値を読み込む
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentVersion
• 以下のキーのレジストリ値を作成または削除
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• 以下のキーにレジストリ値を作成
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOce
• レジストリキーまたは値の削除
• 以下のレジストリキーの暗号化フォームの書き込み
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\KeyboardMapper
• 以下のレジストリキーの暗号化フォームの書き込み
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\{variable}
• データを取得、復号、値を連結するため以下のレジストリキ－の読み込み
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\KeyboardMapper
• レジストリ値"temp"を作成し、後に削除

マルウェアがレジストリに連結して読み込む値には以下があります。

• DefaultValue
• Current
• Cache
• Code
• Slave
• Link
• Master
• Shell

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。