• Email
• Facebook
• Twitter
• Google+
• Linkedin

PE_ICOGON.B

---

• マルウェアタイプ: ファイル感染型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\ACLControl.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ACLControl = "%User Temp%\ACLControl.exe"

他のシステム変更

ウイルスは、以下のファイルを削除します。

• %Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log

(註：%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

ウイルスは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\ACLControl

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\ACLControl
DllName = "%User Temp%\ACLControl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\ACLControl
Impersonate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\ACLControl
Asynchronous = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\ACLControl
Logon = "ACLLogon"

作成活動

ウイルスは、以下のファイルを作成します。

• %User Temp%\_{malware file name}
• vcredist_x86.exe
• WinPcap_4_1_2.exe
• msinfo32.exe
• icwconn1.exe
• icwconn2.exe
• icwrmind.exe
• icwtutor.exe
• inetwiz.exe
• isignup.exe
• moviemk.exe
• Digcore.exe
• Msncli.exe
• bckgzm.exe
• chkrzm.exe
• hrtzzm.exe
• Rvsezm.exe
• shvlzm.exe
• zClientm.exe
• cb32.exe
• conf.exe
• wb32.exe
• msimn.exe
• oemig50.exe
• setup50.exe
• wab.exe
• wabmig.exe
• wordpad.exe
• rpcapd.exe
• Uninstall.exe
• tour.exe
• unregmp2.exe
• places.exe
• ARPPRODUCTICON.exe
• agentsvr.exe
• muisetup.exe
• HelpCtr.exe
• HelpHost.exe
• HelpSvc.exe
• HscUpd.exe
• msconfig.exe
• notiflag.exe
• UploadM.exe
• comrepl.exe
• comrereg.exe
• accwiz.exe
• actmovie.exe
• admin.exe
• ahui.exe
• alg.exe
• append.exe
• arp.exe
• asr_fmt.exe
• asr_ldm.exe
• asr_pfu.exe
• at.exe
• atmadm.exe
• attrib.exe
• auditusr.exe
• author.exe
• autochk.exe
• autoconv.exe
• autofmt.exe
• autolfn.exe
• blastcln.exe
• bootcfg.exe
• bootok.exe
• bootvrfy.exe
• cacls.exe
• calc.exe
• cfgwiz.exe
• change.exe
• charmap.exe
• chglogon.exe
• chgport.exe
• chgusr.exe
• chkdsk.exe
• chkntfs.exe
• cidaemon.exe
• cintsetp.exe
• cipher.exe
• cisvc.exe
• ckcnv.exe
• cleanmgr.exe
• clipbrd.exe
• clipsrv.exe
• cmd.exe
• cmdl32.exe
• cmmon32.exe
• cmstp.exe
• comp.exe
• compact.exe
• conime.exe
• control.exe
• convert.exe
• convlog.exe
• cplexe.exe
• cprofile.exe
• cscript.exe
• csrss.exe
• ctfmon.exe
• davcdata.exe
• dcomcnfg.exe
• ddeshare.exe
• debug.exe
• defrag.exe
• dfrgfat.exe
• dfrgntfs.exe
• dialer.exe
• diantz.exe
• diskpart.exe
• diskperf.exe
• dllhost.exe
• dllhst3g.exe
• dmadmin.exe
• dmremote.exe
• doskey.exe
• dosx.exe
• dplaysvr.exe
• dpnsvr.exe
• dpvsetup.exe
• drvqry.exe
• drwatson.exe
• drwtsn32.exe
• dumprep.exe
• dvdupgrd.exe
• dwwin.exe
• dxdiag.exe
• edlin.exe
• esentutl.exe
• eudcedit.exe
• evcreate.exe
• eventvwr.exe
• evntcmd.exe
• evntwin.exe
• evtrig.exe
• EXCH_regtrace.exe
• exe2bin.exe
• expand.exe
• explorer.exe
• extrac32.exe
• fastopen.exe
• fc.exe
• find.exe
• findstr.exe
• finger.exe
• fixmapi.exe
• flattemp.exe
• fltmc.exe
• fontview.exe
• forcedos.exe
• fp98sadm.exe
• fp98swin.exe
• fpadmcgi.exe
• fpcount.exe
• fpremadm.exe
• freecell.exe
• fsutil.exe
• ftp.exe
• fxsclnt.exe
• fxscover.exe
• fxssend.exe
• fxssvc.exe
• gdi.exe
• getmac.exe
• gprslt.exe
• gpupdate.exe
• grpconv.exe
• help.exe
• helpctr.exe
• helphost.exe
• helpsvc.exe
• hh.exe
• hostname.exe
• hscupd.exe
• ie4uinit.exe
• iedw.exe
• iexplore.exe
• iexpress.exe
• iisreset.exe
• iisrstas.exe
• iissync.exe
• imapi.exe
• imekrmig.exe
• imepadsv.exe
• imjpdadm.exe
• imjpdct.exe
• imjpdsvr.exe
• imjpinst.exe
• imjpmig.exe
• imjprw.exe
• imjpuex.exe
• imjputy.exe
• imkrinst.exe
• imscinst.exe
• inetin51.exe
• inetmgr.exe
• ipconfig.exe
• ipsec6.exe
• ipv6.exe
• ipxroute.exe
• krnl386.exe
• label.exe
• lights.exe
• lnkstub.exe
• locator.exe
• lodctr.exe
• logagent.exe
• logman.exe
• logoff.exe
• logonui.exe
• lpq.exe
• lpr.exe
• lsass.exe
• magnify.exe
• makecab.exe
• mem.exe
• migisol.exe
• migload.exe
• migrate.exe
• migregdb.exe
• migwiz.exe
• migwiz_a.exe
• mmc.exe
• mnmsrvc.exe
• mobsync.exe
• mofcomp.exe
• mountvol.exe
• mplay32.exe
• mplayer2.exe
• mpnotify.exe
• mqbkup.exe
• mqsvc.exe
• mqtgsvc.exe
• mrinfo.exe
• mscdexnt.exe
• msdtc.exe
• msg.exe
• mshearts.exe
• mshta.exe
• msiexec.exe
• msiregmv.exe
• msoobe.exe
• mspaint.exe
• msswchx.exe
• mstinit.exe
• mstsc.exe
• mtstocom.exe
• narrator.exe
• nbtstat.exe
• nddeapir.exe
• net.exe
• net1.exe
• netdde.exe
• netsetup.exe
• netsh.exe
• netstat.exe
• nlsfunc.exe
• notepad.exe
• nppagent.exe
• nslookup.exe
• ntbackup.exe
• ntsd.exe
• ntvdm.exe
• nw16.exe
• nwscript.exe
• odbcad32.exe
• odbcconf.exe
• oobebaln.exe
• opnfiles.exe
• osk.exe
• osuninst.exe
• packager.exe
• pathping.exe
• pentnt.exe
• perfmon.exe
• pinball.exe
• ping.exe
• ping6.exe
• pintlphr.exe
• powercfg.exe
• print.exe
• progman.exe
• proquota.exe
• proxycfg.exe
• qappsrv.exe
• qprocess.exe
• query.exe
• quser.exe
• qwinsta.exe
• rasautou.exe
• rasdial.exe
• rasphone.exe
• rcimlby.exe
• rcp.exe
• rdpclip.exe
• rdsaddin.exe
• rdshost.exe
• recover.exe
• redir.exe
• reg.exe
• regedit.exe
• regedt32.exe
• regini.exe
• register.exe
• regsvr32.exe
• regwiz.exe
• relog.exe
• replace.exe
• reset.exe
• rexec.exe
• route.exe
• routemon.exe
• rsh.exe
• rsm.exe
• rsmsink.exe
• rsmui.exe
• rsnotify.exe
• rsopprov.exe
• rstrui.exe
• rsvp.exe
• rtcshare.exe
• runas.exe
• rundll32.exe
• runonce.exe
• rvsezm.exe
• rwinsta.exe
• sapisvr.exe
• savedump.exe
• sc.exe
• scardsvr.exe
• scrcons.exe
• sctasks.exe
• sdbinst.exe
• secedit.exe
• services.exe
• sessmgr.exe
• sethc.exe
• setup.exe
• setup_wm.exe
• sfc.exe
• shadow.exe
• share.exe
• shmgrate.exe
• shrpubw.exe
• shtml.exe
• shutdown.exe
• sigverif.exe
• skeys.exe
• smbinst.exe
• smi2smir.exe
• smlogsvc.exe
• smss.exe
• sndrec32.exe
• sndvol32.exe
• snmp.exe
• snmptrap.exe
• sol.exe
• sort.exe
• spider.exe
• spiisupd.exe
• spnpinst.exe
• spoolsv.exe
• sprestrt.exe
• srdiag.exe
• stimon.exe
• subst.exe
• svchost.exe
• syncapp.exe
• sysedit.exe
• sysinfo.exe
• syskey.exe
• sysocmgr.exe
• systray.exe
• taskkill.exe
• tasklist.exe
• taskman.exe
• taskmgr.exe
• tcmsetup.exe
• tcpsvcs.exe
• tcptest.exe
• telnet.exe
• tftp.exe
• tintlphr.exe
• tintsetp.exe
• tlntadmn.exe
• tlntsess.exe
• tlntsvr.exe
• tourstrt.exe
• tourW.exe
• tracerpt.exe
• tracert.exe
• tracert6.exe
• tscon.exe
• tscupgrd.exe
• tsdiscon.exe
• tskill.exe
• tsprof.exe
• tsshutdn.exe
• twunk_16.exe
• twunk_32.exe
• typeperf.exe
• unlodctr.exe
• unsecapp.exe
• uploadm.exe
• upnpcont.exe
• ups.exe
• user.exe
• userinit.exe
• utilman.exe
• verifier.exe
• vssadmin.exe
• vssvc.exe
• vwipxspx.exe
• w32tm.exe
• wbemtest.exe
• wextract.exe
• wiaacmgr.exe
• winchat.exe
• winhelp.exe
• winhlp32.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

このウイルス情報は、自動解析システムにより作成されました。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください