• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_CRYPCTB.TVQ

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %User Temp%\{random filename}.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のファイルを作成します。

• %ProgramData%\{randomly selected folder}\{random filename} (for Windows Vista and above)
• %All Users Profile%\Application Data\{randomly selected folder}\{random filename} (for Windows XP and below)
• %All Users profile%\{random filename}.html (for Windows Vista and above)
• %ProgramData%\{random filename}.html (for Windows Vista and above)
• %All Users Profile%\Application Data\{random filename}.html (for Windows XP and below)
• %User Profile%\Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows Vista and above)
• %User Profile%\Documents\!Decrypt-All-Files-{random letters}.txt (for Windows Vista and above)
• %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows XP and below)
• %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.txt (for Windows XP and below)
• %User Temp%\icn-cir-cheggstudy-48x48.png
• %User Temp%\tinagundakelaeka.jpg
• %User Temp%\17 Under The Influence.mp3
• %User Temp%\ns{random characters}.tmp
• %User Temp%\ns{random characters}.tmp\catalogues.dll
• %Temp%\icn-cir-cheggstudy-48x48.png
• %Temp%\tinagundakelaeka.jpg
• %Temp%\17 Under The Influence.mp3
• %Temp%\ns{random characters}.tmp
• %Temp%\ns{random characters}.tmp\catalogues.dll

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

マルウェアは、以下のファイルを作成します。

• %System%\Tasks\{random filename} (for Windows Vista and above)
• %Windows%\Tasks\{random filename}.job (for Windows XP and below)

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註：変更前の上記レジストリ値は、「{user-defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\{Documents or My Documents}\!Decrypt-All-Files-{random letters}.bmp"

(註：変更前の上記レジストリ値は、「{user-defined}」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}vfnw4wp4.onion.cab
• http://{BLOCKED}vfnw4wp4.tor2web.org
• http://{BLOCKED}mvfnw4wp4.onion.lt
• http://{BLOCKED}mvfnw4wp4.onion.gq
• http://{BLOCKED}mvfnw4wp4.tor2web.fi
• http://{BLOCKED}mvfnw4wp4.tor2web.{BLOCKED}gie.de