![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
TROJ_CHEPVIL.SM
2012年10月8日
プラットフォーム:
Windows 2000, Windows XP, Windows Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
マルウェアは、ダウンロードしたファイルを実行します。
マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 16,896 bytes
タイプ EXE
メモリ常駐 なし
発見日 2011年3月25日
ペイロード ファイルのダウンロード, URLまたはIPアドレスに接続
侵入方法
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成し実行します。
- %System%\mlcqdcsk.dll
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}.{BLOCKED}.220.52/lol2.exe
- http://{BLOCKED}.{BLOCKED}.220.52/pod.exe
- http://{BLOCKED}.{BLOCKED}.220.52/spm.exe
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %System Root%\Documents and Settings\Administrator\Local Settings\Temp\spm.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、ダウンロードしたファイルを実行します。
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}myqeg.com/1017000413
- http://{BLOCKED}.{BLOCKED}.193.20/service/listener.php?affid=50039
- http://{BLOCKED}.{BLOCKED}.193.20/service/scripts/files/aff_50039.dll
- http://{BLOCKED}.{BLOCKED}.193.20/service/listener.php?affid=50039
- http://{BLOCKED}.{BLOCKED}.88.10//srv
- http://{BLOCKED}.{BLOCKED}.88.10//dll
- http://{BLOCKED}.{BLOCKED}.193.20/service/scripts/files/aff_50039.dll
- http://{BLOCKED}.{BLOCKED}.193.138/xxxx_2/MDUwNTZjMDA4fDUwMDM5fDB8M3wxZTd8NS4xIDI2MDAgU1AzLjB8MHwwfHBybjE0
マルウェアは、実行後、自身を削除します。