Trend Micro Security

TROJ_CRYPWALL.YH

2014年10月23日
 別名:

Win32/Filecoder.CO (ESET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: はい
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 253,952 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年10月23日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %System Root%\{7 characters from UID}

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のファイルを作成します。

  • %User Startup%\DECRYPT_INSTRUCTION.TXT
  • %User Startup%\DECRYPT_INSTRUCTION.HTML
  • %User Startup%\INSTALL_TOR.URL

(註:%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %Desktop%\DECRYPT_INSTRUCTION.TXT
  • %Desktop%\DECRYPT_INSTRUCTION.HTML
  • %Desktop%\INSTALL_TOR.URL

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\{7 characters from UID}\{7 characters from UID}.exe
  • %Application Data%\{7 characters from UID}.exe
  • %User Startup%\{7 characters from UID}.exe

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Recent File List

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Settings

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}nterburg.ch/wordpress/f0k1ats
  • http://www.{BLOCKED}etorideal.com.br/site/hr38xc4
  • http://www.{BLOCKED}-times.com/l449jbc0
  • http://www.{BLOCKED}tantiques.co.uk/blog/c8w5kp1
  • http://www.{BLOCKED}kyapmak.com/kf4bv
  • http://{BLOCKED}partner.cz/o5l5ujx2f
  • http://{BLOCKED}folio.ccpullman.ca/blog/eo7ycomyy
  • http://www.{BLOCKED}verda.com/blog-trabajos/n65dj17i1836
  • http://www.{BLOCKED}singcruising.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
  • http://www.{BLOCKED}neumann.de/z6lub76lz295x
  • http://www.{BLOCKED}wettringen.de/wordpress/3uh2e
  • http://www.{BLOCKED}aue-schwarzenberg.de/wp-content/themes/fdp-asz/vrf8iu
  • http://www.{BLOCKED}xwoman.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
  • http://www.{BLOCKED}stepsphotography.co.uk/blog/f040z4d5d21z5rd
  • http://www.{BLOCKED}iskaforeningen.com/wp-content/themes/jarrah/ghd4vowtha0s.bin
  • http://www.{BLOCKED}elifesupport.com/5gr4hl2tvv
  • http://www.{BLOCKED}or.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
  • http://www.{BLOCKED}ole.be/s5eroewr
  • http://www.{BLOCKED}wnguild.com/u2m8bbkln3fqpe
  • http://www.{BLOCKED}uainfo.com/wp-content/themes/mh/3sbgwh