PUA.WIN32.TOMOS.GA
Win32/Somoto.D (NOD32), Downloader.Win32.Somato.h (Kaspersky)
Windows
- マルウェアタイプ: 潜在的に迷惑なアプリケーション
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- %User Temp%\nsw{random}.tmp\modern-header.bmp
- %User Temp%\nsw{random}.tmp\modern-wizard.bmp
- %User Temp%\nsw{random}.tmp\nsDialogs.dll
- %User Temp%\nsw{random}.tmp\filesfrog-visible.rtf
- %User Temp%\nsw{random}.tmp\System.dll
- %AppDataLocal%\FilesFrog Update Checker\uninstall.exe
- %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker\Check for Updates.lnk
- %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker\Uninstall.lnk
- %Desktop%\Check for Updates.lnk
- %AppDataLocal%\FilesFrog Update Checker\update_checker.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)
プログラムは、以下のフォルダを作成します。
- %AppDataLocal%\FilesFrog Update Checker
- %User Temp%\nsw{random}.tmp
- %Application Data%\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
自動実行方法
プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SDP = "%AppDataLocal%\FilesFrog Update Checker\update_checker.exe /auto"
他のシステム変更
プログラムは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
HKEY_CURRENT_USER\Software\Somoto
HKEY_CURRENT_USER\Software\Somoto\
SDP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open\
command
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\sdp
プログラムは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
DisplayName = "FilesFrog Update Checker"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
DisplayIcon = "%AppDataLocal%\FilesFrog Update Checker\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
UninstallString = "%AppDataLocal%\FilesFrog Update Checker\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
NoModify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FilesFrog Update Checker
NoRepair = "1"
HKEY_CURRENT_USER\Software\Somoto\
SDP
flags = "32"
HKEY_CURRENT_USER\Software\Somoto\
SDP
nc = "{hex value}"
HKEY_CURRENT_USER\Software\Somoto\
SDP
affid = "filesfrogvisible"
HKEY_CURRENT_USER\Software\Somoto\
SDP
muid = "{UID}"
HKEY_CURRENT_USER\Software\Somoto\
SDP
uid = "{UID}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp
(Default) = "URL:SDP Protocol"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp
URL Protocol = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sdp\shell\open\
command
(Default) = ""%AppDataLocal%\FilesFrog Update Checker\update_checker.exe"/protocol %1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\sdp
WarnOnOpen = "0"
HKEY_CURRENT_USER\Software\Somoto\
SDP
nc = "{hex value}"
HKEY_CURRENT_USER\Software\Somoto\
SDP
flags = "36"
その他
プログラムは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}k.{BLOCKED}date.com/get_list?uid={UID}&muid={UID}&user_interval=24&v=4.3.0&c=0&affid=filesfrogvisible&manual=1&t=0