GERAL
Microsoft: Dogrobot, Dogkild; Ikarus: Geral; VBA32: Geral
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「The Robot Dog」としても知らされる「GERAL」は、セキュリティ対策製品を終了させるために利用されます。これにより、不正なファイルがダウンロード、実行され、コンピュータのセキュリティが侵害されます。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %System%\drivers\TvPlus.sys
- %System%\drivers\pcidump.sys
- %System%\jxgamepacik.pak
- %User Temp%\{random}.exe
- %Windows%\extext{random}t.exe
- %Windows%\{random}test.dll
- %Windows%\{random}text.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\scvhost.exe
- %System%\kav.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %Program Files%\KAV
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
RsTray = "%System%\scvhost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
kav = "%System%\kav.exe"
マルウェアは、特定のアプリケーションの起動時に自身が自動実行されるよう、「Image File Execution Options」キーを用いて以下のレジストリキーおよびレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application}
{application} = "svchost.exe"
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application}
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}re.cn/xx8/Count.asp?mac={mac address}&ver={version}&os={OS}
- http://{BLOCKED}4.cc/2/Count.asp?mac={mac address}&ver={version}&os={OS}
- http://{BLOCKED}4.cc/7/Count.asp?mac={mac address}&ver={version}&os={OS}
- http://{BLOCKED}2.{BLOCKED}j.com:18888/57/tj.asp?mac={mac address}&ver={version}&os={OS}&dtime={date}
- http://{BLOCKED}o.{BLOCKED}2.org:300/up23/Count.asp?mac={mac address}&ver={version}&os={OS}&dtime={date}
- http://www.{BLOCKED}2432.cn/0001/Count.asp?mac={mac address}&ver={version}&os={OS}
- http://www.{BLOCKED}2432.cn/0004/Count.asp?mac={mac address}&ver={version}&os={OS}
- http://{BLOCKED}3.cn/xx8/ttnew.txt
- http://{BLOCKED}2.cn/0001/ttnew.txt
- http://{BLOCKED}2.cn/0004/ttnew.txt
- http://{BLOCKED}z.{BLOCKED}ns.com:18184/c/d.txt
- http://{BLOCKED}z.{BLOCKED}ns.com:18184/c/host.txt
- http://{BLOCKED}t.{BLOCKED}8.xicp.cn:300/aas.txt
- http://{BLOCKED}8.com/xin/host.jpg
- http://{BLOCKED}8.com/xin/xx2.txt
- http://{BLOCKED}8.com/xin/xx7.txt
追加された「Image File Execution Option」レジストリ値の {application} には、以下のいずれかが当てはまります。
- 360Safebox.exe
- 360SoftMgrSvc.exe
- 360delays.exe
- 360realpro.exe
- 360rp.exe
- 360safe.exe
- 360sd.exe
- 360tray.exe
- AgentSvr.exe
- CCenter.exe
- DSMain.exe
- DrUpdate.exe
- DrvAnti.exe
- FrameworkService.exe
- KABackReport.exe
- KISSvc.exe
- KPFW32.exe
- KPfwSvc.exe
- KSWebShield.exe
- KVSrvXP.exe
- KWatch.exe
- KavStart.exe
- LiveUpdate360.exe
- MPMon.exe
- MPSVC.exe
- MPSVC1.exe
- MPSVC2.exe
- McProxy.exe
- McTray.exe
- MpfSrv.exe
- QQDoctor.exe
- QQDoctorRtp.exe
- QQDrNetMon.exe
- Rav.exe
- RavMon.exe
- RavMonD.exe
- RavStub.exe
- RavTask.exe
- RegGuide.exe
- RsAgent.exe
- RsTray.exe
- SHSTAT.exe
- ScanFrm.exe
- Uplive.exe
- XsClient.exe
- alg.exe
- antiarp.exe
- avp.exe
- bdagent.exe
- ccEvtMgr.exe
- ccSetMgr.exe
- ccSvcHst.exe
- ccapp.exe
- defwatch.exe
- egui.exe
- ekrn.exe
- engineserver.exe
- kaccore.exe
- kmailmon.exe
- livesrv.exe
- mcagent.exe
- mcinsupd.exe
- mcmscsvc.exe
- mcnasvc.exe
- mcshell.exe
- mcshield.exe
- mcsysmon.exe
- mcupdmgr.exe
- mfeann.exe
- mfevtps.exe
- naPrdMgr.exe
- nbmanti.exe
- qutmserv.exe
- rfwsrv.exe
- rsnetsvr.exe
- rssafety.exe
- rtvscan.exe
- safeboxTray.exe
- uDongFangYu.exe
- udaterui.exe
- vptray.exe
- vsserv.exe
- vstskmgr.exe
- xcommsvr.exe
- xcommsvr.exe