Trend Micro Security

PUA.Win32.ErrorFix.AA

2019年4月19日
 解析者: Arvin Roi Macaraeg   
 別名:

PUA:Win32/Dllkitster(Microsoft); Artemis!AFA2A289EDF9(McAfee)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 1,136,576 bytes
メモリ常駐 なし
発見日 2018年11月4日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %Program Files%\ErrorFix KIT\ErrorFixKIT.exe
  • %Program Files%\ErrorFix KIT\ErrorFixKIT.exe
  • %Program Files%\ErrorFix KIT\zh-CN\RC.resources.dll
  • %Program Files%\ErrorFix KIT\zh-CN\RC.resources.dll
  • %Program Files%\ErrorFix KIT\de\RC.resources.dll
  • %Program Files%\ErrorFix KIT\de\RC.resources.dll
  • %Program Files%\ErrorFix KIT\id\RC.resources.dll
  • %Program Files%\ErrorFix KIT\id\RC.resources.dll
  • %Program Files%\ErrorFix KIT\da\RC.resources.dll
  • %Program Files%\ErrorFix KIT\da\RC.resources.dll
  • %Program Files%\ErrorFix KIT\no\RC.resources.dll
  • %Program Files%\ErrorFix KIT\no\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ru\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ru\RC.resources.dll
  • %Program Files%\ErrorFix KIT\cs\RC.resources.dll
  • %Program Files%\ErrorFix KIT\cs\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ar\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ar\RC.resources.dll
  • %Program Files%\ErrorFix KIT\pl\RC.resources.dll
  • %Program Files%\ErrorFix KIT\pl\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ja\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ja\RC.resources.dll
  • %Program Files%\ErrorFix KIT\fr\RC.resources.dll
  • %Program Files%\ErrorFix KIT\fr\RC.resources.dll
  • %Program Files%\ErrorFix KIT\uk\RC.resources.dll
  • %Program Files%\ErrorFix KIT\uk\RC.resources.dll
  • %Program Files%\ErrorFix KIT\sv-SE\RC.resources.dll
  • %Program Files%\ErrorFix KIT\sv-SE\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ko\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ko\RC.resources.dll
  • %Program Files%\ErrorFix KIT\tr\RC.resources.dll
  • %Program Files%\ErrorFix KIT\tr\RC.resources.dll
  • %Program Files%\ErrorFix KIT\pt-BR\RC.resources.dll
  • %Program Files%\ErrorFix KIT\pt-BR\RC.resources.dll
  • %Program Files%\ErrorFix KIT\es-ES\RC.resources.dll
  • %Program Files%\ErrorFix KIT\es-ES\RC.resources.dll
  • %Program Files%\ErrorFix KIT\vi\RC.resources.dll
  • %Program Files%\ErrorFix KIT\vi\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ms\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ms\RC.resources.dll
  • %Program Files%\ErrorFix KIT\fi\RC.resources.dll
  • %Program Files%\ErrorFix KIT\fi\RC.resources.dll
  • %Program Files%\ErrorFix KIT\th\RC.resources.dll
  • %Program Files%\ErrorFix KIT\th\RC.resources.dll
  • %Program Files%\ErrorFix KIT\nl\RC.resources.dll
  • %Program Files%\ErrorFix KIT\nl\RC.resources.dll
  • %Program Files%\ErrorFix KIT\it\RC.resources.dll
  • %Program Files%\ErrorFix KIT\it\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ro\RC.resources.dll
  • %Program Files%\ErrorFix KIT\ro\RC.resources.dll
  • %Program Files%\ErrorFix KIT\Newtonsoft.Json.dll
  • %Program Files%\ErrorFix KIT\Newtonsoft.Json.dll
  • %Program Files%\ErrorFix KIT\sciter32.dll
  • %Program Files%\ErrorFix KIT\sciter32.dll
  • %Common Programs%\ErrorFix KIT\ErrorFix KIT.lnk
  • %Desktop%\ErrorFix KIT.lnk

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Common Programs%フォルダは、共通プログラムグループが含まれるフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs" です。また、Windows Vista、7、8の場合、通常 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

その他

プログラムは、自身の不正活動を実行する際、以下の文字列またはレジストリ値を追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\zh-CN\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\de\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\id\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\da\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\no\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ru\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\cs\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ar\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\pl\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ja\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\fr\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\uk\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\sv-SE\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ko\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\tr\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\pt-BR\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\es-ES\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\vi\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ms\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\fi\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\th\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\nl\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\it\= ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
    %Program Files%\ErrorFix KIT\ro\= ""
  • HKEY_CURRENT_USER\Software\ErrorFix KIT
    installed= "1"

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

プログラムは、以下の不正なWebサイトにアクセスします。

  • https://www.er{BLOCKED}?action=start&os=Windows%207%20Professio{BLOCKED}20NT%206.1.7601%20Service%20Pack%201)®ion_os=Japan&mac=000C29935DCF&datetime=19-04-2019%2003%3A59%3A13&installer=cleDF85.tmp
  • https://events.err{BLOCKED}i/settings
  • https://www.err{BLOCKED}tings/update.json
  • https://update.error{BLOCKED}te?version=1.0.2.8&wl=errorkit