• Email
• Facebook
• Twitter
• Google+
• Linkedin

ELF_MOKES.A

---

• マルウェアタイプ: バックドア型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• $HOME/.config/autostart/$filename.desktop -> to execute itself every system startup

マルウェアは、以下のファイルを作成し実行します。

• File may be dropped in any of the following locations:
  $Home/.local/share/.dropbox/DropboxCache
  $Home/.local/share/.mozilla/firefox/profiled

マルウェアは、以下の無害なファイルを作成します。

• {malware dropped copy folder}\version - contains malware version and full path of the dropped copy

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Keylogging and monitors mouse inputs
• Capture screenshots
• Capture audio

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.218.177/v1
• http://{BLOCKED}in.com/host.dat

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。

• %User Temp%\ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
• %User Temp%\aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
• %User Temp%\kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
• %User Temp%\dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください