Trend Micro Security

TROJ_CRYPWALL.YY

2015年3月6日
 解析者: Miguel Carlo Ang   
 別名:

Crypt3.BZHO(AVG);Trojan-Ransom.Win32.Blocker.gmug(Kaspersky);VirTool:Win32/CeeInject.gen!KK(Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 225,341 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年2月7日

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\(8 random characters)\{8 random characters}.exe
  • %Application Data%\(8 random characters).exe
  • %User Startup%\(8 random characters).exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%System Root%\(8 random characters)\{8 random characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{8 random characters}c = "%Application Data%\{8 random characters}.exe"

マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

  • %User Startup%\(8 random characters).exe

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = 4

(註:変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}s.com/img4.php
  • {BLOCKED}flymedia.az/img2.php
  • {BLOCKED}rniainsuranceco.com/img4.php
  • {BLOCKED}seniordogfood.com/img2.php
  • {BLOCKED}nblowdri.com/img4.php
  • {BLOCKED}lassn.com/volunteer/img1.php
  • {BLOCKED}.net/plus/img1.php
  • {BLOCKED}voplasma.com/televisa/img1.php
  • {BLOCKED}-score-repair-help.com/img4.php
  • {BLOCKED}rack.com/img2.php
  • {BLOCKED}ctor.com/img3.php
  • {BLOCKED}members.com/img4.php
  • {BLOCKED}ondock.com/img2.php
  • {BLOCKED}utions.net/img5.php
  • {BLOCKED}chluy.net/utf.php
  • {BLOCKED}shersreviews.org/img3.php
  • {BLOCKED}olve.com/img2.php
  • {BLOCKED}igninc.net/img3.php
  • {BLOCKED}ligames.org/img1.php
  • {BLOCKED}ithere.com/tools/img2.php
  • {BLOCKED}wncarandlimousine.com/img1.php
  • {BLOCKED}eaparchitects.com/img4.php
  • {BLOCKED}ashlaundry.com/wp-content/img1.php
  • {BLOCKED}lawoffice.com/img1.php
  • {BLOCKED}ski.com/img5.php
  • {BLOCKED}ideosonline.net/img2.php
  • {BLOCKED}.com/img3.php
  • {BLOCKED}apan.com/img3.php
  • {BLOCKED}sm.net/img4.php
  • {BLOCKED}bo.org/img5.php
  • {BLOCKED}up.net/img5.php
  • {BLOCKED}ns.com/img4.php
  • {BLOCKED}olistic.com/img1.php
  • {BLOCKED}f.com/img4.php
  • {BLOCKED}ngela.com/img5.php
  • {BLOCKED}-club.net/img3.php
  • {BLOCKED}ldakariri.net/img2.php
  • {BLOCKED}rt.net/img2.php
  • {BLOCKED}alestateinvestor.com/img1.php
  • {BLOCKED}com/img5.php
  • {BLOCKED}usmetalsrarecoininvestments.com/img2.php
  • {BLOCKED}a.com/img1.php
  • {BLOCKED}orseoservices.com.au/img5.php

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。