Trend Micro Security

TROJ_DABVEGI.C

2012年10月8日
 解析者: Christopher Daniel So   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、作成したファイルを実行します。

  詳細

ファイルサイズ 167,936 bytes
タイプ PE
メモリ常駐 なし
発見日 2010年9月3日

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Temp%\mkii\win.exe

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\mkii
  • %Program Files%\{random folder name}

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Program Files%は、標準設定では "C:\Program Files" です。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %Program Files%\{random folder name}\xde4444jhc.exe - detected as TROJ_DABVEGI.B
  • %Program Files%\{random folder name}\scrypt.exe - detected as TSPY_ZBOT.SMDM

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

マルウェアは、作成したファイルを実行します。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://www.{BLOCKED}hanin.org/bbs/data/fl.zf - detected as TSPY_ZBOT.MDM