TROJ_DABVEGI.C
Windows 2000, XP, Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、作成したファイルを実行します。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\mkii\win.exe
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
マルウェアは、以下のフォルダを作成します。
- %User Temp%\mkii
- %Program Files%\{random folder name}
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %Program Files%\{random folder name}\xde4444jhc.exe - detected as TROJ_DABVEGI.B
- %Program Files%\{random folder name}\scrypt.exe - detected as TSPY_ZBOT.SMDM
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
マルウェアは、作成したファイルを実行します。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://www.{BLOCKED}hanin.org/bbs/data/fl.zf - detected as TSPY_ZBOT.MDM