Trend Micro Security

HKTL_MAILPASS

2015年10月11日
 解析者: Sabrina Lei Sioting   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 207,874 bytes
タイプ EXE
メモリ常駐 なし
発見日 2012年5月28日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %System Root%\ProgramData\Microsoft\Windows\NetCC437.dll
  • %System Root%\ProgramData\Microsoft\Windows\QQlive.exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

プログラムは、以下のフォルダを作成します。

  • %System Root%\ProgramData
  • %System Root%\ProgramData\Microsoft
  • %System Root%\ProgramData\Microsoft\Windows
  • %System Root%\ProgramData\Microsoft\Windows\Common

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

他のシステム変更

プログラムは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Security\
Log
u={email address entered}|p={password entered} = "CBMail"

プログラムは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_EVNTSYSAPP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CliSysapp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\EvntSysapp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\metSvcUpdate

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetMon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RegUpdate

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SessionLog

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\W32Update