BKDR_KULUOZ.PQ

2013年7月6日

解析者: Rika Joi Gregorio

別名:

Trojan.Fakeavlock(Norton), W32/Dofoil.QPG!tr.dldr(Fortinet)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

詳細

ファイルサイズ 48,128 bytes

タイプ EXE

メモリ常駐はい

発見日 2013年7月6日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%AppDataLocal%\{random}.exe

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のテキストファイルを作成します。

{Malware Path and Filename}.txt

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.{BLOCKED}.130.18:993
http://{BLOCKED}.{BLOCKED}.35.190:8080
http://{BLOCKED}.{BLOCKED}.214.158:8080
http://{BLOCKED}.{BLOCKED}.236.197:8080
http://{BLOCKED}.{BLOCKED}.229.232:8080
http://{BLOCKED}.{BLOCKED}.140.241:8080
http://{BLOCKED}.{BLOCKED}.42.27:8080

マルウェアは、実行後、自身を削除します。