PUA_INSTALLIQ.GA
Gen:Application.Bundler.InstallIQ.1 (BITDEFENDER), PUA/InstallIQ.Gen5 (ANTIVIR), a variant of Win32/InstallIQ potentially unwanted application (NOD32)
Windows
- マルウェアタイプ: 潜在的に迷惑なアプリケーション
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、特定のレジストリキーにレジストリ値を追加します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
プログラムは、以下のレジストリキーにレジストリ値を追加します。
HKEY_LOCAL_MACHINE\Software\InstallIQ
{no value} = {no data}
作成活動
プログラムは、以下のファイルを作成します。
- %AppDataLocalLow%\cookieman.exe
- %User Temp%\pkg_{random string}\stub.log
- %User Temp%\pkg_{random string}\wrapper.xml
- %User Temp%\pkg_{random string}\autorun.txt
- %User Temp%\pkg_{random string}\{PUA file name}.log
- %User Temp%\pkg_{random string}\timings.txt
- %User Temp%\pkg_{random string}\detectionrules.dat
(註:%AppDataLocalLow%フォルダは、Windows Vista および 7 の場合、通常、"C:\Users\<ユーザ名>\AppData\LocalLow" です。. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
その他
プログラムは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.{BLOCKED}liq.com/api/detectionrequest.aspx?keyid=1&shortname=finalmediaplayer&langid=0x0409
- http://{BLOCKED}.{BLOCKED}liq.com/?sub1=18ef2af0-1dcb-11e8-8ce3-6044c2017a25
- http://{BLOCKED}.{BLOCKED}liq.com/postback/V1/landing.aspx
- http://{BLOCKED}-{BLOCKED}.com/