Trend Micro Security

PUA.Win32.InstallCore.GC

2019年1月15日
 解析者: Kiyoshi Obuchi   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアが自身の不正活動を実行するためには、特定の引数/パラメータ/コンポーネントが必要になります。もしくは、特定の環境で実行される必要があります。

  詳細

ファイルサイズ 723,800 bytes
タイプ EXE
発見日 2019年1月10日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %User Temp%\0005865E.log
  • %User Temp%\ish362078\css\ie6_main.css
  • %User Temp%\ish362078\css\main.css
  • %User Temp%\ish362078\css\sdk-ui\browse.css
  • %User Temp%\ish362078\css\sdk-ui\button.css
  • %User Temp%\ish362078\css\sdk-ui\checkbox.css
  • %User Temp%\ish362078\css\sdk-ui\images\button-bg.png
  • %User Temp%\ish362078\css\sdk-ui\images\progress-bg-corner.png
  • %User Temp%\ish362078\css\sdk-ui\images\progress-bg.png
  • %User Temp%\ish362078\css\sdk-ui\images\progress-bg2.png
  • %User Temp%\ish362078\css\sdk-ui\progress-bar.css
  • %User Temp%\ish362078\csshover3.htc
  • %User Temp%\ish362078\form.bmp.Mask
  • %User Temp%\ish362078\images\BG.png
  • %User Temp%\ish362078\images\Close.png
  • %User Temp%\ish362078\images\Close_Hover.png
  • %User Temp%\ish362078\images\Color_Button.png
  • %User Temp%\ish362078\images\Color_Button_Hover.png
  • %User Temp%\ish362078\images\Grey_Button.png
  • %User Temp%\ish362078\images\Grey_Button_Hover.png
  • %User Temp%\ish362078\images\Icon_Generic.png
  • %User Temp%\ish362078\images\Loader.gif
  • %User Temp%\ish362078\images\Pause_Button.png
  • %User Temp%\ish362078\images\Quick_Specs.png
  • %User Temp%\ish362078\images\Resume_Button.png
  • %User Temp%\ish362078\images\sponsored.png
  • %User Temp%\ish362078\images\text-bg.png
  • %User Temp%\ish362078\locale\DE.locale
  • %User Temp%\ish362078\locale\EN.locale
  • %User Temp%\ish362078\locale\ES.locale
  • %User Temp%\ish362078\locale\FR.locale
  • %User Temp%\ish362078\locale\IT.locale
  • %User Temp%\ish362078\locale\JA.locale
  • %User Temp%\ish362078\locale\PT.locale
  • %User Temp%\00058E88.log
  • %User Temp%\ish362078\bootstrap_21481.html
  • %User Temp%\00062673.log

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://rp.{BLOCKED}pew.com/?pcrc=576367272&v=2.0
  • http://info.{BLOCKED}pew.com/?v=1.03&c=23010bbf&at=620310607&cntr=0
  • http://info.{BLOCKED}pew.com/?v=1.03&c=23010bbf&at=620310607&cntr=1
  • http://rp.{BLOCKED}pew.com/?pcrc=1027296427&v=2.0
  • http://info.{BLOCKED}pew.com/?v=1.03&c=23010bbf&at=620310607&cntr=2
  • http://rp.{BLOCKED}pew.com/?pcrc=349181583&v=2.0
  • http://rp.{BLOCKED}pew.com/?pcrc=1863948091&v=2.0

マルウェアが自身の不正活動を実行するためには、特定の引数/パラメータ/コンポーネントが必要になります。もしくは、特定の環境で実行される必要があります。