VKHOST

「VKHOST」の亜種は、他のマルウェアをダウンロードするダウンローダであり、感染したコンピュータのHostsファイルを改変し、ユーザが特定のWebサイトにアクセスするのを妨害します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %User Temp%\b.ico
• %User Temp%\dumb13145
• %User Temp%\{random}

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

自動実行方法

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• {random}.lnk

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\{random}.vbs

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random1}
• %User Temp%\{random}.dll

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}x.{BLOCKED}es.info/js/data/ex.dll
• http://{BLOCKED}a.{BLOCKED}q.info/js/data/ex.dll
• http://{BLOCKED}o.{BLOCKED}es.info/js/data/ex.dll
• http://{BLOCKED}v.{BLOCKED}ick.info/js/data/ex.dll
• http://{BLOCKED}l.{BLOCKED}r.info/js/data/ex.dll
• http://{BLOCKED}f.{BLOCKED}r.info/js/data/ex.dll

このマルウェアは、感染したコンピュータのHostsファイルを改変し、ユーザが特定のWebサイトにアクセスをするのを妨害します。マルウェアは、以下の文字列を%User Temp%\{random}からコピーすることで、これを実行します。

• {BLOCKED}22.41 odnoklassniki.ru
• {BLOCKED}22.41 www.facebook.com
• {BLOCKED}22.41 www.twitter.com
• {BLOCKED}22.41 vkontakte.ru
• {BLOCKED}22.41 ru-ru.facebook.com
• {BLOCKED}22.41 www.odnoklassniki.ru
• {BLOCKED}22.41 vk.com
• {BLOCKED}22.41 www.vkontakte.ru
• {BLOCKED}22.41 www.vk.com
• {BLOCKED}22.41 facebook.com
• {BLOCKED}22.41 twitter.com