Trend Micro Security

ADW_ELEX.A

2017年3月1日
 更新者 : Jennifer Gumban
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 なし
発見日 2013年9月7日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下の無害なファイルを作成します。

  • %User Profile%\Application Data\{name}\msvcr100.dll
  • %User Profile%\Application Data\{name}\System.dll
  • %Program Files%\{name}\{config name}.ini

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

アドウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\Application Data\{name}\{file name}.exe
  • %Program Files%\{name}\{file name}.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

アドウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\{name}
  • %User Profile%\{name}
  • %User Temp%\{random values}.tmp
  • %Program Files%\{name}

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

アドウェアは、以下のサービスを追加し、実行します。

  • Service Name: {name}
  • Display Name: {name}
  • Start Type: SERVICE_AUTO_START
  • Binary Pathname: "%User Profile%\Application Data\{name}\{file name}.exe" or "%Program Files%\{name}\{file name}.exe"

(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}ch123.com/logic/z.php
  • http://{BLOCKED}.{BLOCKED}oud.com/v4/sof-everything/{url path}
  • http://www.{BLOCKED}3.com/inf/eve/SSFK?ver={version}
  • http://{BLOCKED}.{BLOCKED}5.com/everything/up?{url path}
  • http://www.{BLOCKED}lage.com/searchprotect/up?{url path}