TROJ_CROWTI

2014年10月23日

解析者: Rika Joi Gregorio

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: はい
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

詳細

タイプ EXE

メモリ常駐はい

ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

%System Root%\{7 characters from UID}

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のファイルを作成します。

%User Startup%\DECRYPT_INSTRUCTION.TXT
%User Startup%\DECRYPT_INSTRUCTION.HTML
%User Startup%\INSTALL_TOR.URL

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

マルウェアは、以下のファイルを作成し実行します。

%Desktop%\DECRYPT_INSTRUCTION.TXT
%Desktop%\DECRYPT_INSTRUCTION.HTML
%Desktop%\INSTALL_TOR.URL

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\デスクトップ" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System Root%\{7 characters from UID}\{7 characters from UID}.exe
%Application Data%\{7 characters from UID}.exe
%User Startup%\{7 characters from UID}.exe

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Recent File List

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Settings

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://www.{BLOCKED}apmak.com/{random value}
http://www.{BLOCKED}ttringen.de/wordpress/{random value}
http://www.{BLOCKED}epsphotography.co.uk/blog/{random value}
http://www.{BLOCKED}guild.com/{random value}
http://www.{BLOCKED}e.be/{random value}
http://www.{BLOCKED}e-schwarzenberg.de/wp-content/themes/fdp-asz/{random value}
http://www.{BLOCKED}ntiques.co.uk/blog/{random value}
http://www.{BLOCKED}erburg.ch/wordpress/{random value}
http://www.{BLOCKED}info.com/wp-content/themes/mh/{random value}
http://www.{BLOCKED}ifesupport.com/{random value}
http://eportfolio.{BLOCKED}man.ca/blog/{random value}
http://www.{BLOCKED}oman.com/wp-content/themes/s431_Blue/{random value}
http://{BLOCKED}tner.cz/{random value}
http://www.{BLOCKED}umann.de/{random value}
http://www.{BLOCKED}rda.com/blog-trabajos/{random value}
http://www.{BLOCKED}.at/jesneu/wp-content/themes/Girl/{random value}
http://www.{BLOCKED}orideal.com.br/site/{random value}
http://www.{BLOCKED}imes.com/{random value

マルウェアは、以下の拡張子をもつファイルを暗号化します。

.pdf
.pdf
.pot
.pot
.hta
.xlt
.xlt
.pps
.pps
.xlw
.xlw
.dot
.dot
.rtf
.rtf
.ppt
.ppt
.xls
.xls
.doc
.doc
.xml
.xml
.htm
.htm
.html
.html
.hta
.zip
.dvr-ms
.wvx
.wmx
.wmv
.wm
.mpv2
.mpg
.mpeg
.mpe
.mpa
.mp2v
.mp2
.m1v
.IVF
.asx
.asf
.wax
.snd
.rmi
.m3u
.au
.aiff
.aifc
.aif
.midi
.mid
.wma
.wav
.mp3
.wmf
.tiff
.tif
.rle
.png
.jpeg
.jpe
.jpg
.jfif
.ico
.gif
.emf
.dib
.bmp