Trend Micro Security

TROJ_DLOADER.BCT

2012年10月9日
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

ファイルサイズ 199,168 bytes
メモリ常駐 なし

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\BLPHC7TPJ0E72C.SCR
  • %System%\lphc7tpj0e72c.exe
  • %System%\PHC7TPJ0E72C.BMP
  • %User Temp%\.TT3A.TMP.VBS

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • {A56DECD8-1102-49e9-BFD5-17FBE35197F2}
  • CLqhc5tpj0e72c
  • COMINIT_INITIALING

マルウェアは、以下のプロセスを作成してシステムのプロセスに常駐します。

  • %System%\WScript.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Control Panel\Desktop
ConvertedWallpaper = "%System%\phc7tpj0e72c.bmp"

HKEY_CURRENT_USER\Control Panel\Desktop
OriginalWallpaper = "%System%\phc7tpj0e72c.bmp"

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Policies\
SYSTEM
NoDispBackgroundPage = "1"

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Policies\
SYSTEM
NoDispScrSavPage = "1"

HKEY_CURRENT_USER\SOFTWARE\Sysinternals\
Bluescreen Screen Saver
EulaAccepted = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Software Notifier
InstallID = "{malware name}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
lphc7tpj0e72c = "%System%\lphc7tpj0e72c.exe"

他のシステム変更

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Colors
Background = "0 0 255"

(註:変更前の上記レジストリ値は、「58 110 165」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%System%\blphc7tpj0e72c.scr"

(註:変更前の上記レジストリ値は、「(NONE)」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%System%\phc7tpj0e72c.bmp"

(註:変更前の上記レジストリ値は、「blank」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Internet Settings\
Cache\Paths
Directory = "%Temporary Internet Files%\Content.IE5"

(註:変更前の上記レジストリ値は、「C:\Documents and Settings\{user name}\Local Settings\Temporary Internet Files\Content.IE5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Internet Settings\
Cache\Paths\Path1
CachePath = "%Temporary Internet Files%\Content.IE5\Cache1"

(註:変更前の上記レジストリ値は、「C:\Documents and Settings\{user name}\Local Settings\Temporary Internet Files\Content.IE5\Cache1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Internet Settings\
Cache\Paths\Path2
CachePath = "%Temporary Internet Files%\Content.IE5\Cache2"

(註:変更前の上記レジストリ値は、「C:\Documents and Settings\{user name}\Local Settings\Temporary Internet Files\Content.IE5\Cache2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Internet Settings\
Cache\Paths\Path3
CachePath = "%Temporary Internet Files%\Content.IE5\Cache3"

(註:変更前の上記レジストリ値は、「:\Documents and Settings\{user name}\Local Settings\Temporary Internet Files\Content.IE5\Cache3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Internet Settings\
Cache\Paths\Path4
CachePath = "%Temporary Internet Files%\Content.IE5\Cache4"

(註:変更前の上記レジストリ値は、「C:\Documents and Settings\{user name}\Local Settings\Temporary Internet Files\Content.IE5\Cache4」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.1.8eef40d2c272bc094416c082b3658c85.chr.santa-inbox.com/index.php?hostid=d1736306-2ead-49cc-94df-eac53fd0b625&tm=1225613575
  • http://{BLOCKED}.1.8eef40d2c272bc094416c082b3658c85.chr.santa-inbox.com/index.php?hostid=d1736306-2ead-49cc-94df-eac53fd0b625&tm=1225613583
  • http://{BLOCKED}.1.8eef40d2c272bc094416c082b3658c85.chr.santa-inbox.com/index.php?hostid=d1736306-2ead-49cc-94df-eac53fd0b625&tm=1225613592
  • http://{BLOCKED}008.net/images/1225613575/8eef40d2c272bc094416c082b3658c85/d1736306-2ead-49cc-94df-eac53fd0b625.gif
  • http://{BLOCKED}008.net/images/1225613582/8eef40d2c272bc094416c082b3658c85/d1736306-2ead-49cc-94df-eac53fd0b625.gif
  • http://{BLOCKED}008.net/images/1225613592/8eef40d2c272bc094416c082b3658c85/d1736306-2ead-49cc-94df-eac53fd0b625.gif

マルウェアは、以下のメッセージボックスを表示します。

Title: Windows Script Host
Content: Script:\t%User Profile%\Local Settings
Temp\.tt3A.tmp.vbs\nLine:\t3\nChar:\t1\nError:\tNot found\n
\nCode:\t80041002\nSource: \tSWbemServices\n


(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)