解析者: Jennifer Gumban   
 別名:

VBS/Kryptik.N (ESET), UDS:DangerousObject.Multi.Generic (Kaspersky)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、Windows起動時に自動実行されるよう<Common Startup>フォルダ内に以下のファイルを作成します。

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

マルウェアは、Internet Explorer(IE)のゾーン設定を変更します。

マルウェアは、特定のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

  詳細

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

インストール

マルウェアは、以下のファイルを作成します。

  • %Temp%\system32..exe
  • %Temp%\system32..vb

(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %Temp%\mshta.exe

(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Temp%\{Original File Name}

(註:%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

マルウェアは、Windows起動時に自動実行されるよう<Common Startup>フォルダ内に以下のファイルを作成します。$$DATA$$

感染活動

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://games-google.{BLOCKED}nterstrike.com:155/?mew
  • http://games-google.{BLOCKED}nterstrike.com:155/?uns

マルウェアは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)